Deepin Linux: Meine erste Begegnung (Vorsicht geboten?)

[Mondgesang]

Liebe Freunde,

ich war gestern Abend noch ein wenig auf Distrosea unterwegs. Eigentlich unüblich für mich weil mich diese ganzen Forks von Forks von Forks von Forks eher langweilen weil alles dasselbe nur mit etwas anderem Theme ist. Da stieß ich aber auf das allseits bekannte und kontrovers diskutierte Deepin und schaute mal rein. Ach du meine Güte sieht das gut aus, dachte ich mir. Der Desktop schaut nach einem GNOME aus, welches aber derart verfeinert wirkte, das Startmenü, Gott sowas will ich auch unter meinem normalen Gnome. Die Taskleiste, die Kontrollmenüs, boa! Also da merkt man dass da Mühe reingeflossen ist.

Nun wird Deepin aber leider vielerlei geächtet, weil es aus China kommt, Überwachung, Spionage, Datenschutz etc. Eigentlich ein wenig lachhaft, wenn man bedenkt dass diese Leute das in einem YouTube Kommentar schreiben (Google), Facebook und Insta nutzen (Meta) und auf ihrer Windowsmaschine daddeln. Ob jetzt West oder Ost einen mehr ausspioniert sei noch dahingestellt würd ich sagen.

Ich habe mich noch nicht wirklich mit Deepin befasst aber viele raten davon ab. Auch soll bei weitem nicht alles open source sein da. Stimmt das? Wobei in der Linux Welt nicht alle Dinge FOSS sind. Siehe Ubuntus Snaps.

Also ich muss sagen der erste Eindruck war echt gut und bewegte mich DEUTLICH mehr als die zigtausendste Fork-Distro mit anderem Wallpaper und Icon Theme.

Benutzt jemand von euch Deepin? Gibt es handfeste Gründe GEGEN es?

 

[n1tro666]

Gibt es handfeste Gründe GEGEN es?

diese ganzen Forks von Forks von Forks von Forks

darum.

 

[seyfhor]

Nun wird Deepin aber leider vielerlei geächtet, weil es aus China kommt, Überwachung, Spionage, Datenschutz etc.

Ich habe mich noch nicht wirklich mit Deepin befasst aber viele raten davon ab.

Ich würde dei beiden Punkte noch anführen. Wozu ein potentiell verseuchtes Linux nutzen?

auf ihrer Windowsmaschine daddeln.

Deshalb benutzt man halt Linux.

 

[Kuristina]

Ob jetzt West oder Ost einen mehr ausspioniert sei noch dahingestellt würd ich sagen.

Naja, genau da werden viele halt doch einen Unterschied sehen. Auch in der Bewertung, was das kleinere Übel ist.

 

[Mondgesang]

Wozu ein potentiell verseuchtes Linux nutzen?

Naja diese Seuche sehen so manche Puristen ja auch in Ubuntu. So wirklich haltbar sind diese Anfeindungen ja selten. Ist Deepin denn derart geschlossen, dass kaum wer durchblickt was unter der Haube passiert?

 

[seyfhor]

Naja diese Seuche sehen so manche Puristen ja auch in Ubuntu.

Deshalb baut man sich eben sein eigenes Arch 🤔 Ne, sorry, nehme da auch einfach Manjaro🤣

Deepin denn derart geschlossen, dass kaum wer durchblickt was unter der Haube passiert?

Google Bin relativ sicher ich habe da mal drüber gelesen oder nen Video gesehen und da war das Fazit, dass halt manches, gegenüber einem "normalen" Linux, nicht ausgeschlosen werden konnte und das war dann auch nur was oberflächlich entdeckt wurde. (Aber das ist nur meine unbelegte Erinnerung😁)

 

[sedot]

Ist Deepin denn derart geschlossen, dass kaum wer durchblickt was unter der Haube passiert?

Auch. Deepin ist in der Vergangenheit oft genug aufgefallen.
https://en.wikipedia.org/wiki/Deepin#Reception

 

[Mondgesang]

Ich sags mal so, was mich (als Laien) umgehauen hat, wenn mans mal differenzierter betrachtet, ist eher die Optik, also der Deepin Desktop, vielleicht die Animation des Deepin Schriftzuges beim Hoch und Runterfahren. Also quasi die Oberfläche. Vielleicht, wenn ich mir also etwas mitnehmen kann, ist es die Tatsache, dass man unsere geängigen FOSS Desktops sehr wohl elegant und schön hinbekommen kann. Wo man zwar selber Hand anlegen muss, aber es geht scheinbar.

 

[netzgestaltung]

du kannst ja schauen, welche pakete dafür da sind, das es so wird, zb welche gnome-extensions, welcher login manager, etc pp und dann los-archen.

Gerade bei GTK ist vieles CSS Definiert, da mal in die entsprechenden ordner schauen (gtk.css, gtk-dark.css)
https://github.com/linuxdeepin/deepin-desktop-theme

bei den issues kann ja auch geschaut werden...

 

[Kuristina]

Genau. Das Theme kann man ja bestimmt einfach mitnehmen und woanders nutzen.

 

[MonteDrago]

Wenn es dir nur um die Oberfläche geht, die gibt es bei den meisten Desktop Distros im Packet Manager zum selber installieren.
Da kannst du dann relativ sicher sein das kein "Chinaspion" drin ist. 😉😏

 

[netzgestaltung]

Schaut mmn nicht nach GTK aus:
https://github.com/linuxdeepin/dtkgui/blob/master/archlinux/PKGBUILD

Ergänzung (15. Januar 2026)

bei den meisten Desktop Distros im Packet Manager zum selber installieren.

Tatsache:

$ sudo dnf group info "Deepin Desktop"

 

[Leap]

Gibt es handfeste Gründe GEGEN es?

Ja, gibt es. Aus dem Wikipedia Artikel kopiert:

On 7 May 2025, the SUSE Security Team announced the removal of the Deepin Desktop Environment (DDE) from openSUSE Tumbleweed and the planned Leap 16.0 release. This was motivated by a documented history of persistent security vulnerabilities in various DDE components since 2017, difficulties in achieving satisfactory remediation with Deepin's upstream developers, and concerns over the upstream project's security culture. The discovery of a packaging policy violation in the deepin-feature-enable package (introduced in April 2021) that using a "license agreement" bypassed the security reviews and installed unverified components triggered a comprehensive review of the Deepin Desktop Environment (DDE) that culminated in the removal of the desktop environment from the distribution.

Wenn dir oberflächliches Bling-Bling wichtig ist, steht es dir natürlich frei es trotzdem zu benutzen. Wobei das Bling-Bling schnell nicht mehr Bling-Bling ist, sobald eine Desktop-fremde App installiert wird.

 

[SirSinclair]

Ach du meine Güte sieht das gut aus, dachte ich mir. Der Desktop schaut nach einem GNOME aus, welches aber derart verfeinert wirkte, das Startmenü, Gott sowas will ich auch unter meinem normalen Gnome. Die Taskleiste, die Kontrollmenüs, boa! Also da merkt man dass da Mühe reingeflossen ist.

Der Deepin Desktop ist Qt basiert, hat also rein gar nichts mit Gnome zu tun.

Du mußt nicht unbedingt Deepin Linux verwenden um den Deepin Desktop zu benutzen, den Deepin Desktop gibt es z.B. auch in den Debian/Devuan Repos und somit aus vertrauenswürdiger Quelle (die Binaries wurden ja von Debian aus den Sourcecode erstellt).

 

[andy_m4]

auch in den Debian/Devuan Repos und somit aus vertrauenswürdiger Quelle (die Binaries wurden ja von Debian aus den Sourcecode erstellt).

Bloß weil etwas aus dem Source-Code erstellt wurde, heißt es nicht, das es vertrauenswürdig ist.
Und auch die jeweiligen Maintainer können allenfalls grob über den Quelltext drüber gucken. Aber mit einem Audit ist das nicht vergleichbar.

Zudem hat man sich z.B. bei OpenSuSE entschlossen, den deepin Desktop aus dem normalen Package-Repository zu entfernen. Interessanterweise wegen potentiellen und konkreten Security-Problemen:
https://security.opensuse.org/2025/05/07/deepin-desktop-removal.html

 

[SirSinclair]

Zudem hat man sich z.B. bei OpenSuSE entschlossen, den deepin Desktop aus dem normalen Package-Repository zu entfernen. Interessanterweise wegen potentiellen und konkreten Security-Problemen:
https://security.opensuse.org/2025/05/07/deepin-desktop-removal.html

Das war aber nicht wegen einem konkreten Security Problem im Source Code vom Deepin Desktop sondern wegen einem nicht regelkonformen Verhalten des Community Packagers von Suse und so etwas kann bei jeder Distro und jedem Package passieren, ist also eher eine Frage des Vertrauens in die Packager einer Distro:

To get around security review requirements, ourDeepin community packager implemented a workaround which bypasses the regularRPM packaging mechanisms to install restricted assets.

Wenn in Deepin irgendwelche Hintertüren eingebaut sind dann eher in den Binaries der offiziellen Deepin Distro, im öffentlich erhältlichen Source Code ist das extrem unwahrscheinlich weil diese Hintertüren dann zu leicht entdeckt werden können.

 

[Leap]

Das war aber nicht wegen einem konkreten Security Problem im Source Code vom Deepin Desktop

Doch, das war es unter anderem auch. Ich zitiere den Text aus meinem vorherigen Post:

This was motivated by a documented history of persistent security vulnerabilities in various DDE components since 2017

Dein zitierter Satz,

To get around security review requirements, ourDeepin community packager implemented a workaround which bypasses the regularRPM packaging mechanisms to install restricted assets.

beschreibt sehr eindrücklich, was hier falsch läuft. Es geht nicht um Flüchtigkeitsfehler, die jedem mal passieren können, sondern um aktive Handlungen zur Umgehung von security reviews. Das ist Vorsatz. Wenn die Entwickler sich dann auch noch weigern, die Probleme zu beheben, braucht man sich nicht zu wundern, wenn das Vertrauen weg ist.

 

[andy_m4]

Das war aber nicht wegen einem konkreten Security Problem

Doch. Das findet sich im verlinkten Text. Hier mal ein Ausschnitt aus der "Conclusion":

The experience with Deepin software and its upstream during the code reviewsthat we performed has not been the best. More than once, security issues wereported have been replaced by new security issues. Other times, upstreamdid not invest the effort to fully analyze the issues we reported and fixedthem insufficiently.

Klingt nach ein bisschen mehr außer "Haben sich nicht an unsere Regeln gehalten".

erhältlichen Source Code ist das extrem unwahrscheinlich weil diese Hintertüren dann zu leicht entdeckt werden können.

Hintertüren zu entdecken ist selbst bei offenen Quelltext nicht trivial.
Das ist ja auch in schöner Regelmäßigkeit bei Bugs zu sehen, die teilweise schon mehrere Jahre drin sind (hier mal exemplarisch für den Linux-Kernel, auf den sogar vergleichweise oft draufgeguckt wird). Deine Annahme hält also schon einer ganz simplen Beobachtung nicht stand.

Desweiteren bedingt das ja, das sich überhaupt jemand den Quelltext mal richtig ansieht. Auch das ist seltener der Fall als man gemeinhin glaubt.

Und selbst wenn man ein Sicherheitsproblem findet, ist halt im Fall des Falles eine Absicht (was das Wort Hintertür ja implizit) nachzuweisen alles andere als einfach. Weil wenns halt nicht wirklich ganz ganz eindeutig ist, kann man sich immer mit "Bug" rausreden (gibt da sogar einen eigenen Begriff für: Bugdoor).

 

[SirSinclair]

Dein zitierter Satz,

beschreibt sehr eindrücklich, was hier falsch läuft. Es geht nicht um Flüchtigkeitsfehler, die jedem mal passieren können, sondern um aktive Handlungen zur Umgehung von security reviews. Das ist Vorsatz. Wenn die Entwickler sich dann auch noch weigern, die Probleme zu beheben, braucht man sich nicht zu wundern, wenn das Vertrauen weg ist.

Der Satz bezieht sich auf den Community Packager von Suse, nicht auf die Deepin Entwickler!

Ergänzung (15. Januar 2026)

Hintertüren zu entdecken ist selbst bei offenen Quelltext nicht trivial.

Das ist mir vollkommen klar, trotzdem muß man als Entwickler davon ausgehen das sie im frei verfügbaren Quellcode früher oder später gefunden werden, deshalb wären die Deepin Entwickler schön blöd wenn sie sie im öffentlichen Quellcode lassen würden.

Es ist viel wahrscheinlicher das, falls überhaupt, Hintertüren in den Binaries der offiziellen Deepin Distro enthalten sind, die dementsprechend von abweichenden nicht öffentlichen Quellcode mit den Hintertüren kompiliert werden.

Abgesehen davon ist es mMn. mindestens genauso wahrscheinlich das in westlichen kommerziellen Distros (besonders der führenden kommerziellen Distro aus den USA) Hintertüren eingebaut sind wie in chinesischen.

 

[sedot]

Das war aber nicht wegen einem konkreten Security Problem im Source Code vom Deepin Desktop sondern wegen einem nicht regelkonformen Verhalten des Community Packagers von Suse und so etwas kann bei jeder Distro und jedem Package passieren, ist also eher eine Frage des Vertrauens in die Packager einer Distro:

Die Deepin Community hat ihrerseits selbst eine Erklärung abgegeben, Fehler eingeräumt und Besserung gelobt. Ist auch im openSUSE Blogpost verlinkt.
https://bbs.deepin.org/en/post/287017

Abgesehen davon ist es mMn. mindestens genauso wahrscheinlich das in westlichen kommerziellen Distros (besonders der führenden kommerziellen Distro aus den USA) Hintertüren eingebaut sind wie in chinesischen.

Uhm ja. Ohne Nachweise bleibt es FUD und ist kein Argument.