Guix

Sekureco

Kiel raporti problemojn de sekureco

Por raporti konfidencajn problemojn de sekureco en Guix mem aŭ la pakoj, kiujn ĝi provizas, vi povas skribi al la privata dissendolisto guix-security@gnu.org. Tiu listo estas observata de malgranda skipo de Guix-programistoj.

Se vi preferas sendi vian raporton uzante ĉifritan retmesaĝon OpenPGP, bonvolu sendi ĝin al unu el la jenaj Guix-programistoj uzante ilian respektivan ŝlosilon OpenPGP:

• Leo Famulari
  • 4F71 6F9A 8FA2 C80E F1B5 E1BA 5E35 F231 DE1A C5E0
• Ludovic Courtès
  • 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B

Subskriboj de la eldonoj

Eldonoj de Guix estas subskribitaj uzante unu el la sekvaj OpenPGP ŝlosiloj :

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer (ekde versio 1.3.0)
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès (ĝis versio 1.2.0)

Uzantoj devas kontroli siajn elŝutojn antaŭ ol eltiri aŭ ruli ilin.

Sekurecaj ĝisdatigoj

Kiam sekurecaj vundebloj estas trovataj en Guix aŭ la pakoj provizitaj de Guix, ni rapide provizos sekurecajn ĝisdatigojn kiel eble malplej perturbantajn por uzantoj. Kiam estas konvene, sekureca averto estas publikigata en la blogo kun la marko Security Advisory kaj en la dissendolisto info-guix; guix pull --news ankaŭ povas montri la averton.

Guix uzas “daŭrigeldona” modelon. Ĉiuj sekurecaj cimoriparoj estas puŝataj rekte al la ĉefa branĉo. Ne estas “stabila” branĉo nur ricevanta sekurecajn riparojn.