Guix

Безпека

Як повідомити про проблеми безпеки

Щоб обережно повідомити про вразливості самого Guix чи наданих ним пакунків, можете написати в приватний список листування guix-security@gnu.org. Цей список читає невеличка команда розробни_ць Guix.

Якщо вважаєте за потрібне надіслати свій звіт за допомогою листа з OpenPGP-шифруванням, будь ласка, надішліть його комусь із цих розробни_ць Guix, використавши відповідний OpenPGP-ключ:

• Leo Famulari
  • 6840 722E EEE4 D3A6 4EE5 3EAC 6AAC 1963 757F 47FF
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B
• John Kehayias
  • 7E9F 5BF6 1680 4367 127B 7A87 F9E6 9FB8 5A75 54F1

Підписи випусків

Кожен випуск Guix підписано одним із наступних OpenPGP-ключів:

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès

Звіряйте завантаження, перш ніж розпаковувати чи запускати їх.

Оновлення безпеки

Коли в Guix чи пакунках, які надає Guix, хтось знаходить вразливості безпеки, ми надаємо оновлення безпеки — швидко і якнайпростіше для користувач_ок. Коли це доречно, ми публікуємо сповіщення про вразливість у блог із міткою Security Advisory й у розсилку info-guix; guix pull --news також може показати сповіщення.

Guix використовує модель «неперервного випуску». Всі виправлення вад безпеки вивантажуються прямо в основну гілку. Нема окремої «стабільної» гілки, в якій виправляли б лише безпеку.