Guix

Bezpečnost

Jak nahlásit problémy se zabezpečením

Chcete-li nahlásit citlivé bezpečnostní problémy v samotném systému Guix nebo v balíčcích, které poskytuje, můžete napsat do soukromé poštovní konference guix-security@gnu.org. Tuto konferenci sleduje malý tým vývojářů systému Guix.

Pokud dáváte přednost zaslání zprávy pomocí šifrovaného e-mailu OpenPGP, zašlete ji jednomu z následujících vývojářů Guixu s použitím jejich klíče OpenPGP:

• Leo Famulari
  • 6840 722E EEE4 D3A6 4EE5 3EAC 6AAC 1963 757F 47FF
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B
• John Kehayias
  • 7E9F 5BF6 1680 4367 127B 7A87 F9E6 9FB8 5A75 54F1

Podpisy vydání

Vydání Guix jsou podepsány pomocí jednoho z následujícíh OpenPGP klíčů:

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès

Uživatelé by měli před rozbalením nebo spuštěním ověřit své stažené soubory.

Aktualizace bezpečnosti

Pokud budou v systému Guix nebo v balíčcích poskytovaných systémem Guix nalezeny bezpečnostní chyby, poskytneme bezpečnostní aktualizace rychle a s minimálním narušením pro uživatele. Pokud je to vhodné, je bezpečnostní upozornění zveřejněno na blogu pomocí značky Bezpečnostní upozornění a v <3><3.1>zpravodajské konferenci <3>info-guix</3.1>; <4/> může být také zobrazeno.

Společnost Guix používá model "rolling release". Všechny opravy bezpečnostních chyb jsou odesílány přímo do větve master. Neexistuje žádná "stabilní" větev, do které by se dostávaly pouze bezpečnostní opravy.