面对openSUSE的移除决定,武汉深之度科技公司在5月10日通过官方论坛、GitHub仓库及中文技术社区同步发布长文声明,详细回应安全争议,并公布分阶段修复计划。此次回应不仅聚焦技术问题,更承认了开源协作中的沟通失误,试图重塑社区信任。

承认流程缺陷,承诺全量代码审计

Deepin技术团队在声明中首次公开承认,deepin-feature-enable软件包的引入存在“协作流程的严重疏忽”。该包由Deepin社区开发者于2021年独立提交至openSUSE仓库,但未同步告知SUSE安全团队,导致其长期游离于审核体系之外。Deepin表示,这一行为“违背了跨社区协作的基本原则”,并承诺将建立跨发行版同步审查机制,未来所有涉及其他发行版的代码改动需经过内部安全委员会与外部维护者的双重确认。

针对历史安全问题,Deepin宣布启动 “2025安全加固行动” ,具体措施包括:

  1. 代码回溯与漏洞修复:在5月31日前完成对2019年以来所有DDE组件(包括文件管理器、控制中心、启动器等)的代码审计,重点排查D-Bus接口权限、Polkit策略配置及SUID提权风险。
  2. 自动化安全扫描集成:将Clang静态分析器Coverity工具嵌入CI/CD流程,对所有合并请求进行自动化漏洞检测,结果实时公开于GitHub仓库的Security页面。
  3. 第三方渗透测试:邀请Linaro和 Open Source Security Foundation(OpenSSF) 的安全专家参与6月的攻防演练,测试报告将部分开源以供社区监督。

透明化修复进展,设立社区沟通委员会

为应对“缺乏透明度”的批评,Deepin在GitHub新建security-transparency仓库,自5月15日起每日更新修复进度。例如:

  • 5月16日:修复deepin-daemon-dbus中3个高危D-Bus接口(允许未授权应用调用关机、网络配置功能)。
  • 5月20日:移除deepin-feature-enable的Polkit策略自动部署逻辑,改为依赖发行版维护者手动审核。
  • 5月25日:重构文件管理器的缩略图生成模块,修复因ImageMagick依赖链导致的潜在代码注入漏洞(CVE-2019-13137)。

此外,Deepin宣布成立跨社区联络委员会,由3名核心开发者、2名SUSE代表及1名Debian维护者组成,负责协调安全策略同步。该委员会将于6月召开首次线上会议,讨论DDE组件在openSUSE之外的发行版(如Arch Linux、Fedora)中的合规性问题。

社群反应

开源社区Ubuntu DDE Remix项目维护者Jonathan Carter在Mastodon表示,Deepin的修复计划“比大多数商业公司更透明”,尤其是自动化工具和第三方审计的引入,可能成为桌面环境安全的新标杆。但Gentoo开发者Emily Chen指出,Deepin的代码库长期存在“重功能迭代、轻安全维护”的文化,仅靠短期修复难以根治问题。她举例称,Deepin桌面2023年新增的云同步功能至今未通过FIPS 140-2加密认证,其隐私政策也未明确数据存储位置。

部分用户则对技术细节表示困惑。在Reddit的r/linux板块,有用户提问:“如果手动安装Deepin桌面,是否仍需承担安全风险?”对此,Deepin团队在论坛补充说明:5月后的新版本将默认禁用所有非必要特权接口,但发行版维护者仍需自行评估策略兼容性。

后续影响:开源协作能否破局?

Deepin的回应为跨社区协作提供了新思路:通过自动化工具降低人为疏忽,以透明化机制缓解信任危机。但安全专家Lucas Wang在Phoronix评论称:“真正的挑战在于文化转型。Deepin需要证明,其开发者能在每次提交代码时本能地思考‘这对其他发行版意味着什么’,而不仅是‘这能让我们的桌面更炫酷’。”

未来一个月,Deepin的修复成效将受到双重检验:技术层面能否通过OpenSSF的渗透测试?社区层面能否挽回openSUSE的信任?若成功,或为类似事件提供“危机处理模板”;若失败,则可能加剧发行版对第三方桌面的审核收紧。

Deepin官方公告 :https://bbs.deepin.org/zh/post/287016