Guix

Sicherheit

Wie Sie Sicherheitsprobleme melden

Um sensible Sicherheitslücken in Guix selbst oder den bereitgestellten Paketen zu melden, können Sie eine Nachricht an die private Mailing-Liste guix-security@gnu.org schicken. Diese Liste wird von einer kleinen Gruppe von Guix-Entwicklern beobachtet.

Wenn Sie es bevorzugen, Ihre Meldung in einer mit OpenPGP verschlüsselten E-Mail zu übermitteln, senden Sie diese bitte einem der folgenden Guix-Entwickler unter Nutzung des entsprechenden OpenPGP-Schlüssels:

• Leo Famulari
  • 6840 722E EEE4 D3A6 4EE5 3EAC 6AAC 1963 757F 47FF
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B
• John Kehayias
  • 7E9F 5BF6 1680 4367 127B 7A87 F9E6 9FB8 5A75 54F1

Signaturen der Veröffentlichungen

Veröffentlichungen von Guix werden mit einem der folgenden OpenPGP-Schlüssel signiert:

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès

Benutzer sollten heruntergeladene Dateien verifizieren, bevor sie diese entpacken oder ausführen.

Sicherheitsaktualisierungen

Wenn Sicherheitslücken in Guix oder den von Guix bereitgestellten Paketen gefunden werden, werden wir schnell Sicherheitsaktualisierungen ausliefern, mit minimaler Beeinträchtigung für die Nutzer. Wenn es angemessen ist, wird ein Sicherheitshinweis auf dem Blog veröffentlicht, der als Sicherheitshinweis eingeordnet ist, sowie eine Nachricht an die Mailing-Liste info-guix versendet. Der Hinweis kann auch mit guix pull --news angezeigt werden.

Guix verfolgt ein Rolling-Release-Modell. Jeder Patch, der eine Sicherheitslücke beseitigt, wird direkt auf den „master“-Branch gepusht. Es gibt keinen „stable“-Branch, der nur Sicherheitsaktualisierungen erhält.