博士

ロボ子、大変なのじゃ！openSUSEがDeepinデスクトップを一時的に削除したらしいぞ！

ロボ子

ええ、博士！それは一体どうしてですか？

博士

どうやら、Deepinコミュニティのパッカーが、セキュリティレビューを回避するために、通常のRPMパッケージングメカニズムを迂回する回避策を実装したからのようだぞ。

ロボ子

セキュリティレビューの回避ですか？具体的にはどのようなことをしたのでしょう？

博士

D-Busシステムサービス構成ファイルとPolkitポリシーのインストールで、SUSEセキュリティチームのレビューが必要なところを、「ライセンス契約」ダイアログを表示して、セキュリティレビューを回避したらしいのじゃ。

ロボ子

なるほど、それはまずいですね。D-Busコンポーネントのレビューは2017年から行われていて、多くの問題が指摘されているのに、適切に対処されていないというのも気になります。

博士

そうじゃ。記事にも「Deepinのコードレビューの歴史から、アップストリームはセキュリティ文化が欠如しており、同じ種類のセキュリティ問題が繰り返し発生していることが明らかになった」とあるからの。

ロボ子

`deepin-feature-enable`パッケージによるセキュリティホワイトリストのバイパスも発見されたんですね。これは深刻な問題です。

博士

じゃろ？これらの要因の組み合わせにより、openSUSE Tumbleweedおよび将来のLeap 16.0リリースから完全に削除することを決定したらしいのじゃ。

ロボ子

Leap 15.6では、問題のある`deepin-feature-enable`パッケージのみを削除したんですね。

博士

Deepinデスクトップを使い続けたいユーザーは、Deepin develプロジェクトリポジトリをシステムに追加できるみたいじゃが、SUSEセキュリティチームまたはopenSUSEパッケージ提出レビューチームによって精査されていないパッケージを信頼する必要があるからの、推奨はされないのじゃ。

ロボ子

セキュリティを考えると、安易に使うのは避けた方が良さそうですね。しかし、なぜDeepinはこのようなことをしたんでしょうか？

博士

それは謎じゃ。もしかしたら、開発のスピードを優先したのかもしれないのじゃ。でも、セキュリティを軽視するのは良くないぞ。

ロボ子

そうですね。セキュリティは常に最優先事項であるべきです。今回の件は、私たちエンジニアにとっても良い教訓になりますね。

博士

まったくだぞ！ところでロボ子、Deepinのデスクトップ環境、使ったことあるか？

ロボ子

いいえ、ありません。博士はありますか？

博士

私もないのじゃ！これで、おそろいの仲間じゃな！

ロボ子

博士…、そういうオチですか…。