He estado leyendo de cerca la noticia de que openSUSE retira el escritorio Deepin de sus distribuciones por motivos de seguridad, publicada en MuyLinux hace unos días, y no deja de darme vueltas en la cabeza las implicaciones no mencionadas de dicha noticia, sobre todo las relacionadas con la seguridad.
Por si no lo conocías, DDE (Deepin Desktop Environment) es el “escritorio” por defecto de la distribución Linux llamada Deepin, desarrollado por la empresa china Wuhan Deepin Technology Co., Ltd. y está pensado para ser elegante y fácil de usar, y para el que no lo conoce Deepin es hermoso, pero solo eso, muy bonito y ya, en lo personal, en todo lo demás queda a deber, y eso es lo preocupante.
Generalmente, cuando se trata de GNU/Linux, en automático se piensa en estabilidad y seguridad, pero según explica el equipo detrás de openSUSE, DDE no cumple con los estándares necesarios para que sus paquetes estén dentro de los repositorios oficiales de su distribución, en concreto mencionan, que un paquete se está saltando las directrices de la distribución en materia de seguridad:
El descubrimiento de la forma de eludir las restricciones de seguridad mediante el paquete
deepin-feature-enablemarca un punto de inflexión en nuestra evaluación de Deepin. No creemos que el empaquetador de openSUSE Deepin actuase con mala intención al implementar el diálogo de «acuerdo de licencia» para sortear nuestras restricciones. El propio diálogo hace transparentes las preocupaciones de seguridad que tenemos, así que esto no ocurre de manera subrepticia, al menos no hacia los usuarios. Sin embargo, no se discutió con nosotros y viola las políticas de empaquetado de openSUSE. Más allá del aspecto de seguridad, esto también afecta a la garantía de calidad general del empaquetado: los archivos de configuración de D-Bus y las políticas de Polkit instaladas por el paquete deepin-feature-enable son desconocidos para el gestor de paquetes y no se eliminan al desinstalar el paquete, por ejemplo. Estas vías de escape no nos parecen aceptables.
-openSUSE
En otras palabras, el entorno DDE presentaba graves deficiencias, además de presencia de fallos graves en componentes como D-Bus y Polkit, y el módulo dde-api-proxy mostraba vulnerabilidades que potencialmente exponían los sistemas a ataques.
El problema se agravó con la inclusión de un paquete denominado deepin-feature-enable, que permitía la instalación de archivos de configuración sin pasar por la revisión y los controles habituales de seguridad de openSUSE, lo cual supone un importante incumplimiento de las políticas de seguridad de la distribución. Sé que no fue una decisión fácil para el quipo de openSUSE, pero la seguridad y su reputación está en juego y no puedo estar más que de acuerdo con su decisión, como persona que ha probado Deepin, reconozco que es muy bonito, pero nada más, al final terminas cansándote de tanta belleza y comienzas a buscar cosas más útiles.
Y bueno, al final, ¿todo esto qué significa?
Básicamente que desde ahora el paquete de escritorio DDE ya no estará disponible en la versión Tumbleweed y de la próxima versión Leap 16, quedando limitado a la versión Leap 15.6, una perdida para openSUSE, pero sobretodo para Deepin, esperamos que corrijan este error y no se descubra que fue de manera maliciosa, de momento, y no quiero parecer paranoico, pero de mi parte me mantendré alejado de Deepin y su ecosistema, hasta que prueben que siguen siendo respetuosos de la privacidad y la seguridad de los usuarios y espero estar equivocado y que mis precauciones sean exageradas.
- Zetty