The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

openSUSE прекращает поставку Deepin из-за установки небезопасных компонентов в обход RPM

08.05.2025 12:29

Разработчики проекта openSUSE объявили об удалении из репозитория пакетов с рабочим столом Deepin из-за нарушения правил проекта в отношении проверки безопасности размещаемых пакетов. Было выявлено, что сопровождающий Deepin попытался обойти принятые в openSUSE правила рецензирования пакетов и не уведомив команду, отвечающую за безопасность, разместил в репозитории пакет "deepin-feature-enable". Пакет был размещён в апреле 2021 года и включал функциональность, нацеленную на установку дополнительных компонентов, не прошедших проверку и содержащих неустранённые проблемы с безопасностью.

Пакет осуществлял вывод диалога для подтверждения пользователем согласия с условиями лицензии. В условиях было сказано, что ряд компонентов, необходимых для корректной работы Deepin, не включены в официальный репозиторий из-за сомнений в их безопасности у разработчиков openSUSE. Если пользователь выразил готовность пойти на снижение безопасности и согласился с лицензией, осуществлялась распаковка в системные каталоги дополнительных файлов конфигурации D-Bus и политик Polkit из tar-архивов, включённых в состав пакетов deepin-daemon-dbus и deepin-daemon-polkit. Операция выполнялась в обход штатных механизмов установки системных компонентов, предоставляемых пакетным менеджером RPM.

В диалоге принятия лицензионного соглашения также приводилась инструкция, предлагающая пользователю вручную установить пакеты depin-file-manager-dbus и deepin-file-manager-polkit, после чего запустить скрипт для загрузки дополнительных файлов конфигурации, необходимых для работы сервиса Deepin File Manager D-Bus.

Правила openSUSE предписывают сопровождающим устанавливать файлы конфигурации сервисов D-Bus и политики Polkit только после проверки их безопасности участниками SUSE Security Team и помещения в белый список допустимых компонентов. Часть подобных компонентов Deepin прошла проверку и была включена в штатные пакеты, но некоторые компоненты были возвращены на доработку из-за выявленных проблем с безопасностью. Проблемы не были устранены должным образом и желаемые компоненты не получили одобрение на включение. Вместо устранения замечаний сопровождающий Deepin продвинул проблемные компоненты обходным путём.

Команда SUSE Security Team не рекомендует использовать Deepin в настоящее время из-за нерешённых проблем с безопасностью и общей низкой культурой проекта в отношении безопасности. Все пакеты Deepin будут удалены из репозитория openSUSE Tumbleweed и не войдут в состав будущего релиза openSUSE Leap 16.0. В openSUSE Leap 15.6 решено удалить только проблемный пакет "deepin-feature-enable". Пользователям, желающим установить или продолжить использование Deepin в openSUSE, оставлена возможность установки пакетов из отдельных репозиториев Deepin Factory для openSUSE Tumbleweed и Deepin Leap для openSUSE_Leap.

  1. Главная ссылка к новости (https://security.opensuse.org/...)
  2. OpenNews: Выпуск дистрибутива Deepin 23.1, развивающего собственное графическое окружение
  3. OpenNews: Выпуск дистрибутива UbuntuDDE 23.04 с рабочим столом Deepin
  4. OpenNews: openSUSE тестирует поддержку повторяемых сборок
  5. OpenNews: Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов в репозиториях Fedora и openSUSE
  6. OpenNews: Бета-выпуск дистрибутива openSUSE Leap 16
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/63205-deepin
Ключевые слова: deepin, opensuse
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:51, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    это как альт выкинули загрузку плазмоидов и тем, потому что уже нехорошее встречалось, правда там ошибка была в одном лишнем пробеле, но всё равно правильно.
     
     
  • 2.9, Аноним (9), 13:31, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +/
    …вилочки мы нашли, но осадочек таки остался.
     
  • 2.22, Аноним (22), 14:47, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Какого, это радоваться выходу новой программы. Пусть даже, Linux.
     
  • 2.26, Пишу на Турбо Паскаль (?), 15:04, 08/05/2025 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     

  • 1.2, Аноним (2), 12:57, 08/05/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –16 +/
     

  • 1.4, Аноним (6), 13:05, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >не рекомендует использовать Deepin в настоящее время

    Его и раньше стороной обходили.

     
     
  • 2.5, Аноним (5), 13:09, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А, да? Не знал.
     
     
  • 3.19, Аноним (19), 14:37, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Да, изделие из Китая. Они в своём мире живут. Бывают такие приколы как в новости. Проще стороной обходить их проекты. Вон ventoy подозрительно тоже китайскую локализацию на сайте имеет.
     
  • 2.24, Аноним (22), 14:49, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Товальдс, четкий пацан.
     

  • 1.7, Грека (?), 13:14, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну, что тут можно сказать…. Все правильно сделали.
     
     
  • 2.10, Аноним (10), 13:41, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Которые - Суся или Deepin?
     
     
  • 3.11, Аноним (12), 13:50, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • –1 +/
    оба
     

  • 1.13, Аноним (13), 13:58, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вопрос: Как определить, что проект небезопасен?
    Ответ: Его делали сомнительного рода персонажи сомнительной страны происхождения.
     
     
  • 2.32, AleksK (ok), 15:47, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +/
    > Ответ: Его делали сомнительного рода персонажи сомнительной страны происхождения.

    При этом у тебя вся электроника из этой самой "сомнительной" страны.

     
     
  • 3.35, User (??), 15:59, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Вы не понимаете! Это ДРУГОЕ!!!
     
  • 3.39, Аноним (6), 16:13, 08/05/2025 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.14, Аноним (6), 14:03, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Проблемы не были устранены должным образом и желаемые компоненты не получили одобрение на включение. Вместо устранения замечаний сопровождающий Deepin продвинул проблемные компоненты обходным путём.

    https://lenta.ru/news/2021/08/06/chinese/

     
  • 1.18, Аноним (18), 14:31, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >был размещён в апреле 2021

    4 года всё было отлично, а тут внезапно... В общем не удивлюсь, что скоро они будут выкидывать программы по стране разработчиков. Главное начать.

     
     
  • 2.21, Аноним (6), 14:38, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +/
    >они будут выкидывать программы по стране разработчиков

    Так уже:
    https://en.wikipedia.org/wiki/List_of_websites_blocked_in_mainland_China

     
  • 2.29, Аноним (29), 15:17, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Какой шанс что если я сделаю дистрибутив, то к нему будет предвзятое отношение, только из-за страны происхождения?
     
     
  • 3.33, AleksK (ok), 15:48, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Большой
     
     
  • 4.41, Аноним (29), 16:17, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Вот я и думаю, найти территорию, не принадлежащую никакому гос-ву, надо будет туда принести генератор на солярке и ноут. А ещё найти бомжа без гражданства.
     

  • 1.20, Нуину (?), 14:38, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Опять китайцам палки в колеса вставляют. Никогда такого не было и вот опять.
     

  • 1.25, ТрупоПоскаль (?), 15:02, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > рабочим столом Deepin

    А смысла в этом рабочем столе, если он собою представляет обычный KDE с нескучными обоями и кастомной темой?

     
     
  • 2.28, Аноним (29), 15:16, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Отличия от ванильной Плазмы есть? Есть. Среда существует для конкретного дистрибутива, а то что, её запилили в другой дистрибутив, чисто издержки открытой лицензии.
     

  • 1.27, Аноним (29), 15:14, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему нет ни одного дистрибутива, где можно попробовать все имеющиеся рабочие столы?
     
     
  • 2.31, Аноним (30), 15:22, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +/
    NixOS?
     
     
  • 3.37, Аноним (29), 16:03, 08/05/2025 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.34, Смузихлеб забывший пароль (?), 15:56, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > openSUSE

    Неужто, оно ещё живое и кому-то что-то умудряется запрещать ?

     
     
  • 2.38, User (??), 16:06, 08/05/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Предполагаю, примерно как 7 centos - будет с плотно подсевшими примерно вечно.
    А так - атомарно обновляемые контейнерокрутилки у них прям хороши были.
     

  • 1.36, Аноним (36), 16:02, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, сопровождающий также не лестно отзывался о китайских разработчиках. "Из пятерых никто не знает английского, чтобы о чём-то договориться нужен шестой. А где его взять?" Несмотря на это, с маниакальным упорством пилил так называемый рабочий стол. Ну, слегка переусердствовал с идеей фикс, бывает.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру