Sécurité

Comment rapporter des problèmes de sécurité

Pour rapporter des problèmes de sécurité sensibles dans Guix lui-même ou les paquets qu'il contient, vous pouvez écrire à la liste de diffusion privée guix-security@gnu.org. Cette liste est surveillée par une petite équipe de développeurs de Guix.

Si vous préférez envoyer votre rapport avec un courriel chiffré avec OpenPGP, envoyez-le à l'un des développeurs Guix suivant avec leur clé OpenPGP :

Signature des versions publiées

Les versions publiées de Guix sont signées avec la clé OpenPGP ayant l'empreinte 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5. Vous devriez vérifier vos téléchargements avant de les extraire ou de les lancer.

Mises à jour de sécurité

Lorsque des problèmes de sécurité sont découverts dans Guix ou les paquets fournis par Guix, nous fournirons des mises à jour de sécurité rapidement et avec le moins possible de perturbation pour nos utilisateurs et utilisatrices. Lorsque cela est approprié, un avertissement de sécurité sera publié sur le blog avec le tag Security Advisory et sur la liste de diffusion info-guix ; guix pull --news peut aussi afficher l'avertissement.

Guix utilise un modèle en « publication constante ». Toutes les corrections de sécurité sont envoyées directement sur la branche principale. Il n'y a pas de branche « stable » qui ne recevrait que des corrections de sécurité.