News Deepin 23 Preview: China-Distribution auf Debian-Basis mit neuem Paketformat

[Rassnahr]

Es würde doch schon reichen, wenn auch nur ein einziger verdächtiger Code in irgendeinem der Pakete gefunden wird. Dann wäre der Ruf von Deepin - und damit die ganze Distribution - an einem einzigen Tag am Ende.

Vermutlich aber nur außerhalb von China.

Ergänzung (17. August 2022)

Fedora hat so etwas schon länger, Fedora Atomic. Die andere Möglichkeit ist so etwas dem Dateisystem zu überlassen (BTRFS zum Beispiel). Sehe so etwas aber eher beim Paketsystem.

NixOS hat auch Atomic updates, ansonsten finde ich die BTRFS Variante eigentlich besser. Habe selbst BTRFS snapshots für ArchLinux am laufen (davor waren es LVM snapshots). Mit einer Erweiterung für Grub wird dann vor jedem update ein Snapshot erstellt in welchen auch direkt gebootet werden kann.
Der Vorteil bei den BTRFS snapshots ist das man sie booten kann also selbst wenn irgendetwas gravierendes passiert ist kannst du noch in dein System booten.

 

[Noofuu]

Die Chinesen lassen sich halt nicht gerne Ausspionieren , auch wenn sie es überall machen schon eine leichte Ironie

Hätte ich ein Unternehmen wo ich auf kein einziges Windows Programm angewiesen wäre bzw wenn es keine Alternative für Linux gäbe .. dann würde ich schon aus Kostengründen kein Windows oder Apple nutzen.
Gibt ja hier und da ein paar Schulen die es machen finde ich sehr gut, Windows hat zu viel Macht in diesem Bereich meine Meinung

 

[CB-Andi]

Evtl. hat sich da auch einfach eine Gruppe von Leuten gefunden, die kein Bock darauf hat von der Regierung ausspioniert zu werden und deshalb angefangen Deepin zu entwickeln. Dann wäre die Distro eigentlich sicherer wie manch andere? (reine Vermutung/nur andere Sichtweise)

Ja genau das wünsche ich mir auch. Was mich allerdings etwas stutzig gemacht hat war der folgende Satz:

"auf der auch das staatliche Unity Operating System (UOS) der Regierung der Volksrepublik basiert"

Aber das muss ja nichts schlechtes heißen.

 

[x.treme]

Nur weil etwas "Open Source" ist, ist es nicht automatisch sicher.
Es hängt immer davon ab, wie groß und vital die Community ist, und wieviele Augen wirklich sich den Code anschauen.

Und gerade bei einem OS sprechen wir hier von einer immensen Code-Menge, wo man einiges verstecken kann ...

 

[0x8100]

Aber warum? Ist chinesische Open Source kritischer zu betrachten, als "demokratische" Open Source?

es gibt immer noch einen unterschied zwischen den open source einzelbestandteilen, die man auch auf anderen distris installieren kann und dem gesamtkonstrukt "deepin os", das von einer kommerziellen firma gestellt wird und die das abnicken einer eula und privacy policy (die das sammeln von daten enthält) will.

mal eben die 23 in eine vm geworfen: vm mit 16GB platte erstellt, installer sagt direkt am anfang, dass er mindestens 20GB haben will und schaltet die vm einfach aus. platte auf 32GB vergrössert, installer kommt bis zum partitionierungstool und das will dann mindestens 64GB haben und lässt die installation nicht zu... platte wieder vergrössert, installiert -> das os belegt ~8GB ...

im installer deutsches tastaturlayout ausgewählt -> nach installation ist ein englisches aktiv. updates scheinen auch nicht zu funktionieren, damit lass ich es erstmal sein.

 

[NedFlanders]

Die Chinesen lassen sich halt nicht gerne Ausspionieren , auch wenn sie es überall machen schon eine leichte Ironie

Wobei man hier genau zwischen der chinesischen Administration und der Bevölkerung unterscheiden sollte. Die Bevölkerung nimmt das evtl. eher hin mit dem Ausspionieren, ist jedoch selbst nicht der aktive Part dabei.

Deepin finde ich an sich sehr nett, das ist wirklich mal was anderes als die 100te Dsitribution mit immer dem gleichen Desktop.

 

[Bulletchief]

Ich nehme mal die andere Position ein, und sage Ja

Nehmen wir mal die USA als (mehr oder weniger) demokratisches Beispiel, die haben Microsoft und dazugehörige Software als ihr mögliches Instrument.

China als nicht-demokratisches Land könnten genau den Ansatz verfolgen, hier etwas unbemerkt einzuschleusen. Ein Code, der überprüft werden kann, ist kein Garant dafür, dass auch alles gefunden wird.
Die Angst vor Hardware aus China in kritischen Umgebungen gibt es ja schon seit einiger Zeit.

(Dass die USA z.B. schon in einem gewaltigem Ausmaß spioniert haben, ist mir bewusst)

Seh ich genauso.
Vor allem reden wir hier über ne Linux Distro...
Da es gefühlte drölf Millionen Varianten und Versionen gibt - wieso sollte man sich ausgerechnet die einer Autokratie anlachen?
Auch wenn es nur den Funken eines Zweifels gibt, hat man direkt zig andere Alternativen...

 

[-Firebat-]

Das ist glaube die erste Linux Distro/Desktop (DDE) die mir optische gefällt und modern aussieht.

Ich (als KDE Fan) sehe das ähnlich. Lange Zeit Deepin Desktop in Kombination mit Arch Linux eingesetzt. Man fühlt sich gleich heimisch. Die Sidebar mit allen möglichen Einstellungen im Schnellzugriff ist eine super Sache. Kann man sich schnell dran gewöhnen.

Bin dann zwar wieder zurück zu KDE, weil ich es einfach am besten kenne, aber werde Deepin vll mal wieder parallel ausprobieren.

 

[Creeping.Death]

Vermutlich aber nur außerhalb von China.

Das ist aber nicht der springende Punkt. Backdoors in Open Source zu schmuggeln und davon auszugehen, dass sie niemals gefunden wird, ist schon ein bisschen abenteuerlich.
Der Aufwand - und vor allem der mögliche Gesichtsverlust(!) - würde sich für solch eine unbedeutende Distribution auch kaum lohnen.
Da ist es doch viel einfacher das in closed source auf Android-Smartphones (Xiaomi, Oppo, OnePlus, ...) zu verstecken.

Die Chinesen lassen sich halt nicht gerne Ausspionieren , auch wenn sie es überall machen schon eine leichte Ironie

Was für eine dämliche Aussage. Du scherst damit alle Chinesen über einen Kamm. Die Regierung ist in China nicht demokratisch gewählt (hast du vielleicht noch nicht mitbekommen) und spiegelt nicht unbedingt den Willen der Allgemeinheit wieder.

 

[yummycandy]

Is Deepin Linux safe, or is it spyware?

https://www.fosslinux.com/48103/deepin-linux-safe-spyware.htm

 

[x.treme]

Und der Artikel gibt auch gleich die beste Lösung:

Wenn einem die Oberfläche gefällt, einfach Deepin Desktop Environment auf seine präferierte Disto installieren, e.g. https://ubuntudde.com/

Deutlich kleinere Codebase beim Launcher und damit deutlich geringeres Risiko, dass hier die OSS-Community was übersieht, als bei nem kompletten OS dessen Entwicklung von nem chinesischen Unternehmen gesteuert wird.

 

[CB-Andi]

Is Deepin Linux safe, or is it spyware?

https://www.fosslinux.com/48103/deepin-linux-safe-spyware.htm

Danke für den Link das kannte ich noch nicht.

 

[Sebbi]

Der Aufwand - und vor allem der mögliche Gesichtsverlust(!) - würde sich für solch eine unbedeutende Distribution auch kaum lohnen.

Der würde aber nur außerhalb der RC erfolgen. In China würde keiner was davon erfahren, was ja auch Sinn und Zweck dann ist. dann denken die meisten, die nicht den Code lesen können, alles ist tutti und ich bin vor der Regierung geschützt.

Es reicht ja auch, wenn die Orginalversion nicht verwanzt ist aber die Wanze dann mit nen automatisch eingestellten Atomupdate kommt und Eier legt.

Dann denkt der gefilterte normale Anwender, das alles weiterhin iO ist und ist mit keinen Deut besser beraten als mit den anderen verfühbaren OSen in der RC

Evtl. hat sich da auch einfach eine Gruppe von Leuten gefunden, die kein Bock darauf hat von der Regierung ausspioniert zu werden und deshalb angefangen Deepin zu entwickeln.

Oder es will jemand eine breite Masse in Sicherheit der OpenSorce wiegen. Leider ist das komplett im Rahmen der Möglichkeiten

 

[Viper816]

Ich nehme mal die andere Position ein, und sage Ja

Nehmen wir mal die USA als (mehr oder weniger) demokratisches Beispiel, die haben Microsoft und dazugehörige Software als ihr mögliches Instrument.

China als nicht-demokratisches Land könnten genau den Ansatz verfolgen, hier etwas unbemerkt einzuschleusen. Ein Code, der überprüft werden kann, ist kein Garant dafür, dass auch alles gefunden wird.
Die Angst vor Hardware aus China in kritischen Umgebungen gibt es ja schon seit einiger Zeit.

Korrekt und zurecht. Die USA machen das auch. Aber China unterdrückt die eigene Bevölkerung aktiv.

Evtl. hat sich da auch einfach eine Gruppe von Leuten gefunden, die kein Bock darauf hat von der Regierung ausspioniert zu werden und deshalb angefangen Deepin zu entwickeln.

Aber warum? Ist chinesische Open Source kritischer zu betrachten, als "demokratische" Open Source?

Artikel nicht gelesen? Erstens steht nirgens wirklich das Wort "Open Source", aber vor allem solltet ihr bei folgendem Abschnitt extrem die Lauscherchen aufsperren!

Die erstmals am 13. September 2016 veröffentlichte und inzwischen in China meistgenutzte Distribution, auf der auch das staatliche Unity Operating System (UOS) der Regierung der Volksrepublik basiert,...

 

[Miuwa]

Aber warum? Ist chinesische Open Source kritischer zu betrachten, als "demokratische" Open Source?

Wenn man chinesischen Entwicklern weniger vertraut als Entwicklern aus demokratischen Staaten, dann ja.

Ist vielleicht kein so großer Unterschied wie bei closed source, aber open source ist erstmal kein Garant für irgendwas. Bis zu einem gewissen Grad musst du bei Software von der Komplexität und der Änderungsrate eine Betriebssystems den Entwicklern vertrauen (sowohl deren Intention, als auch ihrer Kompetenz).

 

[0x8100]

ich habe doch nochmal weitergeschaut und gesehen, dass in /etc config dateien zu programmen rumliegen, die gar nicht installiert sind. mein verdacht war, dass diese schon durch die basisinstallation mitkommen. dies betrifft unter anderem auch die host-keys für openssh! die müssen auf jedem system einzigartig sein, aber deepin os installiert auf jedem system per default den gleichen schlüssel. da hat jemand schon ganz grundlegende dinge nicht verstanden und diesem os würde ich niemals irgendwelche daten anvertrauen.

 

[x.treme]

Für mich hat das auch weniger mit "chinesische Entwickler" zu tun.

Ab einem bestimmten Sicherheitsbedürfnis, würde ich nie ein OS wählen, hinter dem ein Unternehmen und nicht eine vitale OSS-Community steht.

Deswegen nutze ich selbst ein Pop!_OS auch nicht als Haupt-OS, sondern lieber eines der großen offenen Distros wie Ubuntu

 

[CB-Andi]

Gut das es genug andere Auswahl gibt.
Auch wenn ich DDE sehr schön finde - warum unnötig ein Risiko eingehen.
Da unterstütze ich lieber eine andere Community und keine Firma die einem Überwachungsstaat nahe steht.

PS: Das soll keine Wertung sein - hier geht es nur um mein persönliches empfinden.

 

[Creeping.Death]

Artikel nicht gelesen? Erstens steht nirgens wirklich das Wort "Open Source", aber vor allem solltet ihr bei folgendem Abschnitt extrem die Lauscherchen aufsperren!

Warum sollte ich den Artikel nicht gelesen haben? Deepin ist Open Source. Du kannst den Quellcode herunterladen.

Bis zu einem gewissen Grad musst du bei Software von der Komplexität und der Änderungsrate eine Betriebssystems den Entwicklern vertrauen

Das ist durchaus richtig, aber die Zahl derer, die gerne den "ich-wusste-es-Tanz" aufführen würden, scheint mir hoch genug zu sein. So dass ich davon ausgehe, dass hier viele Leute genauer nachschauen, als bei anderen Distributionen.

 

[CB-Andi]

Für mich hat das auch weniger mit "chinesische Entwickler" zu tun.

Ab einem bestimmten Sicherheitsbedürfnis, würde ich nie ein OS wählen, hinter dem ein Unternehmen und nicht eine vitale OSS-Community steht.

Deswegen nutze ich selbst ein Pop!_OS auch nicht als Haupt-OS, sondern lieber eines der großen offenen Distros wie Ubuntu

Aber hinter Ubuntu steht doch grundsätzlich auch ein Unternehmen?