摘要：SUSE安全团队上周三（5/7）宣布，已自openSUSE发行版本中移除来自中国社交媒体的Deepin桌面环境（Deepin Desktop Environment，DDE），原因是Deepin组件在打包过程中，违反了openSUSE的安全审查政策。开发Dee

SUSE安全团队上周三（5/7）宣布，已自openSUSE发行版本中移除来自中国社交媒体的Deepin桌面环境（Deepin Desktop Environment，DDE），原因是Deepin组件在打包过程中，违反了openSUSE的安全审查政策。开发Deepin的深之度隔天就承诺，会在5月底前修复这些历史性的安全问题。

Deepin是由中国企业武汉深之度科技公司所开发的桌面环境，原本为Deepin Linux的默认界面，它注重可用性，有精美的图像呈现并支持中文，也可被移植到其他的Linux发行版上使用；openSUSE虽未曾默认使用Deepin桌面，但社交媒体曾维护Deepin桌面，让用户可于openSUSE中安装并使用DDE。

SUSE安全团队说明，他们针对openSUSE发行版实施了许多打包限制，若要安装D-Bus系统服务设置文件与各项Polkit政策即需通过该团队的审核，在符合安全需求时才会将相对应的组件列入白名单，之后该软件包装才能提交到发行版中。

D-Bus（Desktop Bus）为一程序间的通信机制，允许系统中不同的程序或服务彼此沟通，系统服务设置文件即是用来定义D-Bus上各种注册服务的启动方式与授权条件；Polkit政策则是用来管理权限与授权规则，定义哪些用户或程序可以执行需要高权限的系统动作。

SUSE安全团队表示，有鉴于Deepin是个包含大量D-Bus服务的大型软件组件，因此在导入openSUSE的初期审查阶段就会面临很高的技术门槛，自2017年开始，该团队便一直与openSUSE Deepin打包者保持联系，以陆续将许多Deepin D-Bus组件列入白名单，但仍有些问题一直没有实质进展，可能是因为等太久了，打包者决定另辟蹊径，试图绕过正常的审查流程，将剩下的Deepin组件纳入openSUSE。

该团队是在今年1月发现一个名为deepin-feature-enable的组件，它实际上是个授权协议的对话框，大意是告诉用户：“SUSE安全团队对Deepin某些组件的安全性所疑虑，可若想完整地使用Deepin，就必须安装这些组件，所以如果你不在乎安全的话，就接受这份协议吧。”而且该组件是在2021年的4月27日就被纳入openSUSE的官方发行版，只是今年才被发现。

一旦用户接受协议，该组件就会从另外两个组件提取并安装D-Bus设置文件与Polkit授权政策到系统目录，还建议用户手动安装其他的组件，以侧载更多配置文件。

SUSE安全团队一怒之下便决定，要在未来的滚动更新版本openSUSE Tumbleweed及稳定版本openSUSE Leap 16.0中，完全移除Deepin桌面环境，而即将发布的Leap 15.6则仅会移除deepin-feature-enable组件。其实用户还是可以自行安装Deepin，只是SUSE安全团队不想再涉及其中。

不过，深之度隔天就发布声明，表示会在今年5月底前修复SUSE安全团队所提出的所有安全问题，并深入扫描潜在风险，以及通过GitHub透明化相关的工作进展。

来源：小夏论科技