Siguiendo el camino que tomó openSUSE hace aproximadamente un año, Fedora ha decidido retirar de sus repositorios los paquetes relacionados con el entorno de escritorio Deepin. La medida ha sido aprobada por FESCo, el comité técnico de Fedora, que ha acordado eliminar los paquetes afectados e impedir su reintroducción hasta que superen una nueva revisión de seguridad.
Fue en mayo del año pasado cuando openSUSE anunció la eliminación de los paquetes relacionados con el escritorio Deepin de los repositorios de sus distribuciones, incluyendo Tumbleweed y Leap 16, dejando únicamente una presencia residual en Leap 15.6 mediante la retirada parcial de deepin-feature-enable, el paquete señalado por permitir eludir determinadas restricciones de seguridad de la distribución.
Entonces, desde openSUSE justificaron la decisión por la acumulación de problemas relacionados con la seguridad, la calidad del empaquetado y la falta de colaboración efectiva con el upstream de Deepin, además del uso de mecanismos que burlaban parte del proceso de revisión interno. En resumen, un precedente rotundo que, parece, tiene su eco ahora en el entorno de la distribución comunitaria de Red Hat.
Fedora no acusa a los mantenedores de Deepin de haber actuado de la misma forma, pero sí reconoce un problema de fondo similar, ya que en la solicitud presentada hace ahora un año por el ingeniero de Red Hat y líder del equipo de control de calidad de Fedora de RH, Adam Williamson, y que ha terminado desembocando en esta retirada, se admite abiertamente que Fedora carece de mecanismos equivalentes a los de SUSE para revisar cambios sensibles relacionados con componentes como D-Bus, Polkit o sysctl.
Sin embargo, tras revisar los informes publicados por SUSE, Williamson considera probable que varios de los problemas detectados afectasen también a Fedora. Entre ellos menciona de manera expresa deepin-file-manager, cuya revisión de seguridad en openSUSE detectó problemas importantes relacionados con su interfaz D-Bus y las políticas de Polkit asociadas. Según indica la propuesta, Fedora habría distribuido ese paquete «sin una revisión significativa» desde el punto de vista de la seguridad.
La revisión también señalaba otros componentes presentes en Fedora, como deepin-api o deepin-system-monitor, este último relacionado con un uso inseguro de Polkit ya advertido anteriormente por SUSE.
Aunque el Williamson reconoce que el proyecto Deepin fue corrigiendo de manera parcial algunos problemas a lo largo del tiempo mediante nuevas versiones, la conclusión general es que las mejoras nunca llegaron a ser suficientes. De hecho, el propio informe de SUSE afirmaba que el demonio del gestor de archivos de Deepin seguía arrastrando «problemas de seguridad importantes», algunos de ellos posiblemente todavía sin corregir.
Más allá de la retirada concreta de Deepin, el debate ha servido también para poner el foco sobre los mecanismos internos de Fedora, dado que la propuesta planteaba expresamente por qué la distribución parece ir «muy por detrás de SUSE» en políticas y herramientas destinadas a revisar cambios sensibles desde el punto de vista de la seguridad.
En definitiva, Deepin desaparece de Fedora, donde se incorporó con el lanzamiento de Fedora 30 (2019), siguiendo un camino parecido al ya recorrido por openSUSE. Un movimiento que pesará a quienes utilizaban este entorno de escritorio, aunque como sucede con proyectos similares, es muy probable que la mayoría de usuarios de Deepin prefieran la experiencia que proporciona la distribución china.
A todo esto, Deepin 25.1 salió hace apenas un mes… ¿Con los mismos problemas de fondo que denuncian Fedora y openSUSE? Visto lo visto, es una duda legítima.
