O ciclo chegou ao fim para o Deepin no Fedora. Após meses acumulando problemas de manutenção, pacotes quebrados e preocupações de segurança, o projeto decidiu aposentar oficialmente todo o conjunto de pacotes relacionados ao ambiente gráfico Deepin Desktop Environment (DDE).
A decisão foi aprovada pela FESCo, o comitê responsável por várias decisões técnicas dentro do Fedora, e praticamente sacramenta algo que já vinha acontecendo há algum tempo: o Deepin já estava deixando de funcionar direito dentro da distribuição.
E dessa vez não foi apenas uma questão de “faltou alguém pra empacotar”. O buraco é um pouco mais embaixo.
O problema começou com a segurança
Toda essa discussão ganhou força depois que o openSUSE removeu o Deepin dos seus repositórios em 2025. Na época, a equipe de segurança da SUSE publicou um relatório apontando problemas sérios em componentes do Deepin, especialmente envolvendo D-Bus e regras de Polkit, áreas bastante sensíveis do sistema.
Entre os principais pontos estavam:
- Interfaces D-Bus consideradas inseguras no deepin-file-manager;
- Uso inadequado e obsoleto de autenticação via Polkit;
- Correções incompletas que acabavam introduzindo novos problemas;
- Falta de respostas consistentes por parte do upstream.
No Fedora, o alerta acendeu quando desenvolvedores perceberam que muitos desses mesmos pacotes estavam sendo distribuídos sem qualquer revisão de segurança equivalente. E aí surgiu uma discussão importante: o Fedora simplesmente não possui um processo tão rígido de revisão de segurança quanto o openSUSE.
Enquanto a SUSE possui mecanismos automáticos que barram pacotes envolvendo D-Bus ou Polkit até que eles sejam analisados pela equipe de segurança, o Fedora praticamente depende da boa vontade e disponibilidade dos mantenedores.
Um dos comentários feitos durante a discussão chama particularmente a atenção: a palavra “segurança” simplesmente não aparecia nas diretrizes de revisão de pacotes do Fedora.
Deepin já estava em estado crítico
Mesmo sem a discussão de segurança, o Deepin já vinha sobrevivendo por aparelhos dentro do Fedora. Diversos pacotes começaram a falhar em builds recentes, alguns deixaram de instalar corretamente e outros simplesmente foram abandonados por falta de manutenção.
Com o tempo, o Deepin deixou de aparecer entre os Fedora Spins oficiais, pacotes essenciais começaram a quebrar no Fedora 42, 43 e 44, dependências ficaram inconsistentes e alguns componentes já haviam sido aposentados automaticamente por falhas contínuas.
Na prática, o Fedora já não oferecia mais uma experiência funcional completa com o Deepin há vários meses. A situação ficou ainda mais complicada porque os mantenedores originais do projeto dentro do Fedora basicamente saíram de cena.
Zamir Sun, um dos coordenadores iniciais do Deepin no Fedora, confirmou que os responsáveis pelo empacotamento já não tinham mais tempo para cuidar da enorme quantidade de pacotes necessários para manter o ambiente funcionando. E pior, praticamente não apareceram novos mantenedores interessados em assumir esse trabalho.
O Fedora decidiu encerrar tudo
Depois de várias tentativas de contato e meses aguardando respostas mais concretas, a FESCo votou oficialmente pela aposentadoria de todos os pacotes ligados ao Deepin. A aprovação foi unânime.
Além disso, a engenharia de release do Fedora recebeu a orientação de que os pacotes não devem voltar simplesmente com um “unretire”. Caso alguém queira trazer o Deepin de volta no futuro, será necessário passar por uma nova revisão completa.
Ou seja, o Fedora não apenas removeu o Deepin, ele basicamente resetou toda a confiança no conjunto de pacotes.
Talvez a parte mais interessante dessa história nem seja o Deepin em si, mas a discussão que ela gerou dentro do próprio Fedora. Vários desenvolvedores apontaram que o projeto está muito atrás do openSUSE quando o assunto é revisão de segurança em pacotes sensíveis.
Hoje o Fedora não possui:
- Um sistema robusto de auditoria automatizada;
- Revisões obrigatórias de componentes críticos;
- Participação consistente das equipes de segurança da Red Hat;
- Mecanismos que impeçam pacotes problemáticos de serem publicados.
Alguns desenvolvedores chegaram a comentar que o Fedora acabou separando demais os processos de build e validação. Dessa maneira, pacotes podem continuar sendo construídos normalmente, mesmo acumulando problemas graves.
A discussão também reacendeu um debate antigo sobre o quanto a Red Hat realmente participa da infraestrutura e dos processos internos do Fedora, especialmente nas áreas de segurança e qualidade.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!