SUSE安全团队宣布了对openSUSE发行版及衍生的SUSE产品中系统级D-Bus服务和Polkit策略的限制。 任何包含这些功能的软件包都需要先经过他们的审查，才能被添加到生产仓库中。

openSUSE KDE打包者在KDE6的重大发布前，因为接口重命名或其他重大变化，需要调整D-Bus和Polkit的白名单。这一过程不仅是一次独特的经历，也带来了新的见解。

D-Bus消息总线系统在Linux上通常只用于本地，尽管D-Bus规范也允许通过网络操作。而Polkit是一个授权框架，允许应用程序决定系统中的用户是否被允许执行特定操作。

系统守护进程需要正确实现Polkit授权检查，以及D-Bus服务组件经常需要代表非特权客户端行动，这可能导致权限边界的交叉。

KDE桌面环境大量使用D-Bus服务，并在其上增加了更多抽象层，其中基础组件是KAuth框架。KAuth为KDE应用程序集成D-Bus和Polkit生成D-Bus配置文件和一些胶水代码。3但在KDE6发布中，KAuth生成的D-Bus配置文件过于开放，可能会影响到其他不应受到影响的D-Bus服务。

KDE6的大多数包应该已经到达openSUSE Tumbleweed，并可以在生产中使用。4这表明SUSE安全团队与KDE打包者和上游的早期沟通是有益的，避免了问题代码在KDE6的生产版本中发布。在一些领域，如遗留的fontinst D-Bus服务或sddm-kcm D-Bus服务，修复API问题的复杂性显然对上游来说太高，无法及时提出更好的解决方案。尽管如此，SUSE安全团队决定不要求为这些服务的发现分配CVE，因为在默认的Polkit配置中，攻击向量不可达普通用户。这一决定反映了SUSE安全团队在处理潜在安全问题时的审慎态度。