安全
怎么报告安全问题
如果想报告Guix自身或它提供的软件包的安全问题,你可以发邮件到这个私密邮件列表guix-security@gnu.org。这个邮件列表只有一小部分Guix开发者才能看到。
如果你想使用OpenPGP加密邮件,请用下面这些Guix开发者的OpenPGP公钥加密并发送给对应的人:
- Leo Famulari
- 4F71 6F9A 8FA2 C80E F1B5 E1BA 5E35 F231 DE1A C5E0
- Ludovic Courtès
- 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
- Mark H Weaver
- D919 0965 CE03 199E AF28 B3BE 7CEF 2984 7562 C516
- Ricardo Wurmus
- BCA6 89B6 3655 3801 C3C6 2150 197A 5888 235F ACAC
发布签名
Guix发布的版本使用这个OpenPGP私钥签名:3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5。用户应该在解压和运行之前验证压缩包的签名。
安全更新
当在Guix或它提供的软件包里发现安全问题时,我们会及时提供安全更新,并最小化对用户的影响。合适时,还会在博客和info-guix邮件列表上发布安全公告,并打上安全公告标签。guix pull --news也会展示相关公告。
Guix使用“滚动发行”模式。所有的安全更新都直接推到主分支上。我们没有只接受安全更新的“稳定”分支。