Sécurité

Comment rapporter des problèmes de sécurité

Pour rapporter des problèmes de sécurité sensibles dans Guix lui-même ou les paquets qu'il contient, vous pouvez écrire à la liste de diffusion privée guix-security@gnu.org. Cette liste est surveillée par une petite équipe de développeurs de Guix.

Si vous préférez envoyer votre rapport avec un courriel chiffré avec OpenPGP, envoyez-le à l'un des développeurs Guix suivant avec leur clé OpenPGP :

Signature des versions publiées

Les versions de Guix sont signées avec l'une des clés OpenPGP suivantes :

Vous devriez vérifier vos téléchargements avant de les extraire ou de les lancer.

Mises à jour de sécurité

Lorsque des problèmes de sécurité sont découverts dans Guix ou les paquets fournis par Guix, nous fournirons des mises à jour de sécurité rapidement et avec le moins possible de perturbation pour nos utilisateurs et utilisatrices. Lorsque cela est approprié, un avertissement de sécurité sera publié sur le blog avec le tag Security Advisory et sur la liste de diffusion info-guix ; guix pull --news peut aussi afficher l'avertissement.

Guix utilise un modèle en « publication constante ». Toutes les corrections de sécurité sont envoyées directement sur la branche principale. Il n'y a pas de branche « stable » qui ne recevrait que des corrections de sécurité.