Guix

Seguridad

Cómo informar de problemas de seguridad

Para informar de problemas delicados de seguridad en el propio Guix o en los paquetes que proporciona, puede escribir a la lista de correo privada guix-security@gnu.org. Esta lista es monitorizada por un pequeño grupo de personas que desarrollan Guix.

Si prefiere enviar su informe usando un correo cifrado usando OpenPGP, por favor, envíelo a una de las siguientes personas que desarrollan Guix usando su clave OpenPGP respectivamente:

• Leo Famulari
  • 6840 722E EEE4 D3A6 4EE5 3EAC 6AAC 1963 757F 47FF
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B
• John Kehayias
  • 7E9F 5BF6 1680 4367 127B 7A87 F9E6 9FB8 5A75 54F1

Firmas de las publicaciones

Los lanzamientos de Guix son firmados usando uno de las siguientes claves OpenPGP:

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès

Los usuarios deberían verificar sus descargas antes de su extracción o ejecución.

Actualizaciones de seguridad

Cuando se encuentran vulnerabilidades en Guix o en los paquetes proporcionados por Guix, se proporcionan actualizaciones de seguridad de manera rápida y con una perturbación mínima para quienes usen el sistema. Cuando sea apropiado, se publicará un aviso de seguridad en el blog con la etiqueta «Security Advisory» y en la lista de correo info-guix; también es posible que guix pull --news muestre el aviso.

Guix usa un modelo de «actualización continua». Todas las correcciones de errores se suben directamente a la rama principal («master»). No existe una rama estable que únicamente reciba actualizaciones de seguridad.