Fedora决定全面下架Deepin软件包

Fedora工程指导委员会（FESCo）近日通过投票，决定将所有与Deepin相关的软件包从发行版的仓库中移除。投票结果以7票赞成、0票反对、0票弃权在5月19日的会议上正式通过。此外，发布工程团队已被告知，除非这些软件包能通过全新的审核流程，否则不得重新引入。

事件缘起：openSUSE的安全调查

事情的起因要追溯到今年5月。openSUSE安全团队发布了一份详细报告，指出Deepin软件包存在多项严重安全隐患，并已将其从仓库中移除。

• deepin-file-manager 守护进程存在严重的D-Bus接口问题，部分问题即使在修补后依然未彻底解决。
• deepin-api 和 deepin-system-monitor 被发现以不安全的方式使用已废弃的Polkit认证机制。

这份报告促使Fedora质量保证团队的Adam Williamson在Fedora的追踪系统上提交了工单，并提出一个尖锐的问题：如果SUSE安全团队已经发现了这些漏洞，Fedora这边的情况又如何？

经过调查，Fedora发现自己在未进行任何实质性安全审查的情况下，就一直在分发这些软件包。更糟糕的是，Fedora自身的软件包审查指南存在严重缺失：没有强制要求、没有审查工具，也没有指导审查人员关注安全问题的说明。有趣的是，过去曾存在一些安全相关的指南，但在多年前已被删除。

Deepin在Fedora中早已岌岌可危

事实上，在FESCo投票之前，Deepin软件包在Fedora中的处境已经十分糟糕。核心软件包在Fedora 42、43和44版本中一直无法正常构建。早在数月前，由于关键包无法编译，Deepin桌面环境就被从Fedora Spins和fedora-comps中移除。

负责维护Deepin桌面的DeepinDE SIG小组，关键成员也逐渐流失。SIG协调员Zamir Sun在回复FESCo的邮件中坦诚：“长话短说，所有最初打包Deepin DE软件包的成员（包括felixonmars、mosquito、cheeselee和我自己）都因忙于其他事务，无法承担海量的维护工作。我们始终没有招募到活跃的打包者来接手，因此只能眼看着Deepin从Fedora中消失。”

目前，唯一位仍活跃处理软件包的人是Felix Wang（topazus），但他既不回复bug报告，也不回应维护者的沟通请求，甚至连直接发送的邮件也毫无音讯。每当Fedora的构建失败策略自动将某个包标记为无人维护时，topazus只会直接取回所有权，却从不修复任何问题。

最终决定：彻底退出

5月5日，FESCo向相关维护者发出了正式通知，并给予四周的回复期限。由于没有收到任何实质性的回应，委员会最终决定移除整个软件包集合。发布工程团队也被要求，除非这些包能重新经过完整的审核流程，否则不得恢复。

至此，Deepin桌面环境在Fedora上的旅程暂时画上了句号。如果未来能有新的维护者站出来，将这些包从零开始重新审查，也许Deepin还有回归的机会。但从目前状况来看，这个可能性微乎其微。

---

关注微信号：智享开源 ，访问网站：www.imcn.me

原文链接：https://feed.itsfoss.com/link/24361/17344914/fedora-ditches-deepin

投稿作者	作者网站

---

请支持IMCN发展！

谁在捐赠

微信捐赠	支付宝捐赠

扫码关注公众号：智享开源