SUSE要將中國社群開發的Deepin桌面環境自openSUSE中移除

SUSE安全團隊上周三（5/7）宣布，已自openSUSE發行版本中移除來自中國社群的Deepin桌面環境（Deepin Desktop Environment，DDE），原因是Deepin套件在打包過程中，違反了openSUSE的安全審查政策。開發Deepin的深之度隔天就承諾，會在5月底前修復這些歷史性的安全問題。

Deepin是由中國業者武漢深之度科技公司所開發的桌面環境，原本為Deepin Linux的預設介面，它注重可用性，有精美的圖像呈現並支援中文，亦可被移植到其它的Linux發行版上使用；openSUSE雖未曾預設使用Deepin桌面，但社群曾維護Deepin桌面，讓使用者可於openSUSE中安裝並使用DDE。

SUSE安全團隊說明，他們針對openSUSE發行版實施了許多打包限制，若要安裝D-Bus系統服務設定檔案與各項Polkit政策即需通過該團隊的審核，在符合安全需求時才會將相對應的元件列入白名單，之後該軟體包裝才能提交到發行版中。

D-Bus（Desktop Bus）為一程序間的通訊機制，允許系統中不同的程式或服務彼此溝通，系統服務設定檔案即是用來定義D-Bus上各種註冊服務的啟動方式與授權條件；Polkit政策則是用來管理權限與授權規則，定義哪些使用者或程式可以執行需要高權限的系統動作。

SUSE安全團隊表示，有鑑於Deepin是個包含大量D-Bus服務的大型軟體套件，因此在導入openSUSE 的初期審查階段就會面臨很高的技術門檻，自2017年開始，該團隊便一直與openSUSE Deepin打包者保持聯繫，以陸續將許多Deepin D-Bus元件列入白名單，但仍有些問題一直沒有實質進展，可能是因為等太久了，打包者決定另闢蹊徑，試圖繞過正常的審查流程，將剩下的Deepin元件納入openSUSE。

該團隊是在今年1月發現一個名為deepin-feature-enable的套件，它實際上是個授權協議的對話框，大意是告訴使用者：「SUSE安全團隊對Deepin某些元件的安全性所疑慮，可若想完整地使用Deepin，就必須安裝這些元件，所以如果你不在乎安全的話，就接受這份協議吧。」而且該套件是在2021年的4月27日就被納入openSUSE的官方發行版，只是今年才被發現。

一旦使用者接受協議，該套件就會從另外兩個套件提取並安裝D-Bus設定檔與Polkit 授權政策到系統目錄，還建議使用者手動安裝其它的套件，以側載更多配置檔案。

SUSE安全團隊一怒之下便決定，要在未來的滾動更新版本openSUSE Tumbleweed及穩定版本openSUSE Leap 16.0中，完全移除Deepin桌面環境，而即將發表的 Leap 15.6則僅會移除deepin-feature-enable套件。其實使用者還是可以自行安裝Deepin，只是SUSE安全團隊不想再牽涉其中。

不過，深之度隔天就發表聲明，表示會在今年5月底前修復SUSE安全團隊所提出的所有安全問題，並深入掃描潛在風險，以及透過GitHub透明化相關的工作進展。