Środowisko graficzne Deepin Desktop Environment (DDE), znane z wizualnego podobieństwa do systemu Windows 11 i będące podstawą chińskiego narodowego systemu operacyjnego UOS, zostało oficjalnie usunięte z repozytoriów popularnej niemieckiej dystrybucji Linuksa — openSUSE.
Decyzja podjęta przez zespół ds. bezpieczeństwa SUSE, firmy stojącej za rozwojem openSUSE, wywołała spore poruszenie w społeczności linuksowej i stanowi jasny sygnał: naruszenia zasad i poważne zagrożenia dla bezpieczeństwa użytkowników nie będą tolerowane.
Kontrowersje wokół chińskiego środowiska graficznego
DDE to rozwijane przez chińską firmę UnionTech środowisko graficzne, używane m.in. w systemach Deepin Linux oraz UOS (Union Operating System) – systemie wspieranym przez rząd Chińskiej Republiki Ludowej jako element krajowej strategii cyfrowej suwerenności. Pomimo przyjaznego interfejsu, przypominającego system Windows 11, środowisko to od lat budziło kontrowersje z powodu nieprzejrzystych rozwiązań technicznych i niejasnego podejścia do prywatności i bezpieczeństwa danych.
Powód usunięcia: niebezpieczny kod i łamanie procedur
Jak poinformowała firma SUSE na swoim blogu, decyzja o wykluczeniu DDE zapadła po dokładnej analizie technicznej. Kluczowym argumentem były liczne przypadki naruszenia zasad przygotowywania pakietów oraz obecność groźnych luk w bezpieczeństwie. Zespół SUSE odnotował szczególnie niepokojące działania związane z modułem dde-api-proxy, umożliwiające lokalną eskalację uprawnień użytkownika, co może potencjalnie prowadzić do przejęcia kontroli nad systemem.
Choć zespół Deepin został o tym poinformowany w grudniu 2024 r. i obiecał wprowadzenie poprawek zgodnie z zasadami odpowiedzialnego ujawniania, jakość dostarczonych aktualizacji była – zdaniem ekspertów – niewystarczająca. Co gorsza, poprawki likwidujące stare luki wprowadzały nowe, równie poważne.
„To nie incydent – to wzorzec”
Według specjalistów SUSE, problemy z jakością i bezpieczeństwem DDE nie są incydentalne, lecz systemowe. Od 2017 roku środowisko to było wielokrotnie krytykowane za słabe zabezpieczenia. Przykłady luk pojawiały się m.in. w takich komponentach jak deepin-api, deepin-file-manager czy deepin-clone. Próby ich naprawy często kończyły się dodaniem kolejnych zagrożeń.
Kropla goryczy przelała się po odkryciu pakietu deepin-feature-enable w oficjalnym repozytorium openSUSE. Jak się okazało, został on dodany bez przeglądu bezpieczeństwa i naruszał obowiązujące w SUSE procedury. Co więcej, umożliwiał instalację komponentów DDE bez zatwierdzenia przez opiekunów projektu openSUSE. Firma SUSE zaznacza, że nie dopatrzyła się w tym złej woli, ale nie może ignorować zagrożenia, jakie niosło to działanie.
Koniec DDE w openSUSE
W efekcie wszystkie pakiety powiązane z DDE zostaną usunięte z wersji rolling release – openSUSE Tumbleweed – oraz nie pojawią się w nadchodzącym wydaniu openSUSE Leap 16.0. W przypadku wersji Leap 15.6 zablokowana zostanie jedynie instalacja pakietu deepin-feature-enable, który narusza politykę bezpieczeństwa.
SUSE nie planuje jednak całkowitego zakazania używania środowiska graficznego DDE – użytkownicy, którzy nadal chcą z niego korzystać, będą musieli ręcznie dodać zewnętrzne repozytoria. Firma zdecydowanie jednak odradza dalsze korzystanie z tego oprogramowania.
Pokaż / Dodaj komentarze do: Linux traci popularne środowisko graficzne. "Niebezpieczny kod i łamanie procedur"