Quando in passato è capitato di parlare del desktop Deepin qui sul portale lo abbiamo sempre fatto raccontando numeri al limite del clamoroso. Nel 2023 ad esempio raccontavamo dei tre milioni di installazioni certificate di UOS, la distribuzione creata da UnionTech, che a sua volta sviluppa anche il desktop Deepin.

Numeri così clamorosi sono spiegabili principalmente dal fatto che UnionTech è un’azienda cinese e la propria base d’utenza è, diciamo così, piuttosto ampia.

Il desktop Deepin è unanimemente riconosciuto dalle varie community come tra i migliori, quantomeno in senso estetico, e il suo indice di gradimento è stato sino ad oggi in costante ascesa.

Lo scorso sette maggio però, all’interno di un messaggio apparso sul SUSE Security Team Blog, è apparso un messaggio a proposito del progetto openSUSE, creato da Matthias Gerstner, dal titolo piuttosto eloquente: Removal of Deepin Desktop from openSUSE due to Packaging Policy Violation.

La versione breve dell’annuncio è semplicemente che, a causa di alcune violazioni sulle policy interne del progetto, i pacchetti di Deepin Desktop vengono esclusi dalla distribuzione. Le motivazioni però sono la parte più importante, ed aprono alcuni oscuri aspetti a proposito di questo progetto.

A riassumerli ci pensa questo articolo di The Register, dove emerge come il SUSE Security Team abbia enumerato un intero elenco di problemi, tra cui abusi di D-Bus e Polkit, ma anche scelte architetturali di progettazione molto povere a livello tecnologico.

Si va da buchi di sicurezza nel modulo dde-api-proxy, fino ai suddetti problemi con i servizi D-Bus e lo strumento clone Deepin, con inclusioni di path particolari e chiamate di sistema sospette.

Come vuole la prassi, gli ingegneri di SUSE hanno sollevato questi problemi con gli sviluppatori del progetto e, qui arriva il bello, nei pochi casi in cui l’azienda ha ottenuto risposte o modifiche al codice, le risposte a queste segnalazioni non sono state positive.

La sostanza è che l’installazione di questi pacchetti “ufficiali” lascerebbero il sistema dell’utente vulnerabile agli attacchi, e lasciarlo tra i desktop disponibili nei repository di openSUSE in qualche modo ne legittimerebbe l’uso, cosa che ovviamente i maintainer del progetto non vogliono.

La sostanza di tutto questo discorso è, i più lo avranno già capito, questa domanda: i problemi ed i buchi di sicurezza sono in buona fede o strutturali e voluti?

La risposta a questa domanda dirà molto a proposito del progetto Deepin poiché dopo questa mossa di openSUSE, ne siamo certi, molti altri si interrogheranno su questi temi. Come è logico che sia.