Seguridad

Cómo informar de problemas de seguridad

Para informar de problemas delicados de seguridad en el propio Guix o en los paquetes que proporciona, puede escribir a la lista de correo privada guix-security@gnu.org. Esta lista es monitorizada por un pequeño grupo de personas que desarrollan Guix.

Si prefiere enviar su informe usando un correo cifrado usando OpenPGP, por favor, envíelo a una de las siguientes personas que desarrollan Guix usando su clave OpenPGP respectivamente:

Firmas de las publicaciones

Las publicaciones de Guix se firman usando la clave OpenPGP cuya huella digital es 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5. Se deben verificar las descargas antes de su extracción o ejecución.

Actualizaciones de seguridad

Cuando se encuentran vulnerabilidades en Guix o en los paquetes proporcionados por Guix, se proporcionan actualizaciones de seguridad de manera rápida y con una perturbación mínima para quienes usen el sistema. Cuando sea apropiado, se publicará un aviso de seguridad en el blog con la etiqueta «Security Advisory» y en la lista de correo info-guix; también es posible que guix pull --news muestre el aviso.

Guix usa un modelo de «actualización continua». Todas las correcciones de errores se suben directamente a la rama principal («master»). No existe una rama estable que únicamente reciba actualizaciones de seguridad.