Guix

Sécurité

Comment rapporter des problèmes de sécurité

Pour rapporter des problèmes de sécurité sensibles dans Guix lui-même ou les paquets qu'il contient, vous pouvez écrire à la liste de diffusion privée guix-security@gnu.org. Cette liste est surveillée par une petite équipe de développeurs de Guix.

Si vous préférez envoyer votre rapport avec un courriel chiffré avec OpenPGP, envoyez-le à l'un des développeurs Guix suivant avec leur clé OpenPGP :

• Leo Famulari
  • 6840 722E EEE4 D3A6 4EE5 3EAC 6AAC 1963 757F 47FF
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B
• John Kehayias
  • 7E9F 5BF6 1680 4367 127B 7A87 F9E6 9FB8 5A75 54F1

Signature des versions publiées

Les versions de Guix sont signées avec l'une des clés OpenPGP suivantes :

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès

Vous devriez vérifier vos téléchargements avant de les extraire ou de les lancer.

Mises à jour de sécurité

Lorsque des problèmes de sécurité sont découverts dans Guix ou les paquets fournis par Guix, nous fournirons des mises à jour de sécurité rapidement et avec le moins possible de perturbation pour nos utilisateurs et utilisatrices. Lorsque cela est approprié, un avertissement de sécurité sera publié sur le blog avec le tag Security Advisory et sur la liste de diffusion info-guix ; guix pull --news peut aussi afficher l'avertissement.

Guix utilise un modèle en « publication constante ». Toutes les corrections de sécurité sont envoyées directement sur la branche principale. Il n'y a pas de branche « stable » qui ne recevrait que des corrections de sécurité.