Fedora 和 SUSE 下架 Deepin 桌面包

关键信息

ZDNET 提到，Deepin 商店曾向 CNZZ 发送未加密请求，并包含用户的浏览器标识等信息；Deepin 之后修复了该问题。SUSE 表示，一名打包维护者通过变通方式绕过正常的 RPM 安全审查来安装受限资源，而 Fedora FESCo 随后要求退役这些包，除非它们能再次通过审查。

资讯摘要

ZDNET 表示，曾经被认为是最漂亮的 Linux 桌面之一的 Deepin Desktop Environment，如今已经被从 SUSE 和 Fedora 的官方仓库中移除。文章认为，长期存在的安全与隐私争议，最终迫使这两个大型发行版停止继续分发它。报道回顾了更早的担忧，包括 Deepin 商店曾向 CNZZ 发送未加密请求，并传输浏览器标识等数据。Deepin 之后修复了该问题，而 Foss Linux 提到的一项取证检查则没有发现 Deepin 核心中存在活跃间谍软件的证据。尽管如此，Deepin 的声誉已经因为反复接受安全审视而受到影响。到了 2025 年，SUSE 表示其在 openSUSE 的 Deepin 打包中发现了政策违规：一名社区打包维护者使用变通方法绕过了正常的 RPM 打包机制，以安装受限制的资源。

SUSE 认为，考虑到与 Deepin 代码审查有关的复杂历史，它将暂时从 openSUSE 发行版中移除这些软件包。随后 Fedora 也采取了相同做法，FESCo 表示这些包应被退役，除非它们再次通过审查。Fedora 还据称尝试联系 Deepin 维护者持续四周，并得出结论认为 DDE 软件包长期处于很差的状态。实际结果是，用户已无法再从 Fedora 或 SUSE 的官方仓库安装 Deepin Desktop，不过仍然可以自行从源码编译。ZDNET 将这一决定视为对所有桌面项目的警示：开源并不意味着可以忽视安全审查、打包规范和持续维护。

资讯正文

Deepin Linux 长期以来一直令人怀疑。

SUSE 和 Fedora 已经移除了所有 Deepin 软件包。Deepin 唯一的出路是进行严格的代码审查。

我第一次测试 Deepin 桌面环境（DDE）时，它让我惊艳不已。我当时想：“这个新的 Linux 桌面终于会成为开源操作系统的重大突破。”

有一段时间，看起来我的预测可能真的会成真。

不过：Kubuntu vs. Fedora KDE：哪款 KDE Plasma 发行版更适合你？但事情很快转向了令人担忧的方向。七年前，一些 YouTube 视频，比如这一则，提醒我们大约在 2018 年，Deepin Store 会向中国版的 Google Analytics（CNZZ）发送未加密请求。发送给 CNZZ 的数据包括用户的浏览器 agent 以及其他一些信息。Deepin 已经处理了这个问题，并停止了数据收集。

根据 Foss Linux 的说法，一次取证扫描没有发现 Deepin 核心中存在活跃间谍软件的证据。

SUSE 与这款中国发行版切割

随后，在 2025 年，Deepin 开始出现分崩离析的迹象，SUSE 决定与这款中国发行版切割。根据 SUSE 的调查结果，“我们注意到 openSUSE 中 Deepin 桌面环境的打包存在政策违规。为了绕过安全审查要求，我们的 Deepin 社区打包维护者实施了一种变通方法，通过绕开常规 RPM 打包机制来安装受限资源。”报告继续写道：“由于这一违规行为，考虑到我们与 Deepin 代码审查之间长期且棘手的历史，我们将暂时从 openSUSE 发行版中移除 Deepin Desktop 软件包。”

Deepin 的问题并没有随着 SUSE 的行动而结束。

不过：Red Hat Desktop vs. Fedora Hummingbird：哪条面向 AI 开发的 Linux 路线更适合你？紧随 SUSE 宣布之后，Fedora 团队（Red Hat Enterprise Linux 就是基于它构建的）也决定效仿，并因类似的安全担忧移除 Deepin 软件包。Phoronix 的一篇文章引用了 Fedora 工程与指导委员会（FESCo）的话：“移除列表中的所有软件包……请 releng 在收到恢复请求时不要恢复这些软件包，除非它们再次通过审查。”

XDA 的一篇报道指出，Fedora “还会再尝试一次联系负责 Deepin 维护的人，因为‘DDE 软件包看起来已经在很长一段时间里处于非常糟糕的状态。’如果他们在四周内没有回复，Fedora 就会放弃 Deepin。”

Deepin Desktop 不再位于 Fedora 或 SUSE 仓库中

好吧，这四周已经过去，Fedora 已正式从主流发行版中移除了 Deepin 软件包。这意味着你现在无法再从 Fedora 或 SUSE 的官方仓库中安装 Deepin Desktop。没错，你仍然可以从源码自行编译并让它在 Fedora 上运行，但考虑到这次变化的性质，你为什么还要这么做呢？自 2018 年以来，两大 Linux 发行版都因持续存在的安全担忧而放弃 DDE，答案已经很明显了。

除非 Deepin 背后的开发者做出重大改变，否则这款曾被称为“最美 Linux 桌面”的产品将彻底陷入停滞。

这很遗憾，但它也应该给每一个在打造 Linux 桌面（或一般软件）团队敲响警钟。话虽如此，并不意味着 Deepin 就完全没救了。如果 Deepin 的代码能够通过严格审查，Fedora 可能会考虑把这些软件包重新放回仓库。会发生吗？没人知道。

一切都摆在明处

绝大多数 Linux 软件都是开源的，这意味着任何人都可以下载、查看、修改并重新打包代码。正因如此，任何具备必要技能的人都可以逐行检查代码，寻找可疑之处。或者，用户也可以安装软件，运行 Wireshark 之类的工具，看看是否有网络流量被发送到可疑地点。我以前就这么做过——并不难。

除此之外，随着 AI 的出现，这类问题现在能被更快地发现；一切都公开透明后，开发者就无法再隐藏恶意代码。

另请参阅：最适合初学者的 Linux 发行版

由于这个 Deepin 问题已经持续了近 10 年，而且 Linux 内核漏洞又在增加，因此看到这些软件包被移除并不令人意外。

好消息是，过去几年里，已有几个 Linux 桌面环境在美观度上超越了 Deepin。KDE Plasma、Pantheon、Budgie，甚至 GNOME，都可以通过定制变得和 Deepin Desktop 一样好看，甚至更胜一筹。与 Deepin 告别，对 Linux 来说并没有什么损失。

即便如此，这样一个漂亮的 Linux 桌面环境最终还是失宠了，原因仅仅是开发者拒绝遵守安全标准——而在一个充斥着坏人和恶意代码的世界里，这些标准已经成为必需品。

来源与参考

1. 原始链接
2. You can't install Deepin Desktop from the official Fedora repo anymore - here's why