Guix

Sicurezza

Come segnalare problemi di sicurezza

Per segnalare problemi di sicurezza sensibili in Guix stesso o nel pacchetti forniti, puoi scrivere alla mailing list privata guix-security@gnu.org. Questo elenco è monitorato da a piccolo team di sviluppatori Guix.

Se preferisci inviare la segnalazione utilizzando l'e-mail crittografata OpenPGP, per favore invialo a uno dei seguenti sviluppatori Guix utilizzando il loro file rispettiva chiave OpenPGP:

• Leo Famulari
  • 6840 722E EEE4 D3A6 4EE5 3EAC 6AAC 1963 757F 47FF
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B
• John Kehayias
  • 7E9F 5BF6 1680 4367 127B 7A87 F9E6 9FB8 5A75 54F1

Firme dei rilasci

Le versioni di Guix sono firmate utilizzando una delle seguenti chiavi OpenPGP:

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès

Gli utenti devono verificare i propri download prima di estrarli o eseguirli.

Aggiornamenti di sicurezza

Quando vengono rilevate vulnerabilità di sicurezza in Guix o nei pacchetti forniti da Guix, forniremo aggiornamenti di sicurezza rapidamente e con il minimo disagi per gli utenti. Quando opportuno, un avviso di sicurezza viene pubblicato sul blog con il tag Security Advisory e sulla mailing list info-guix; guix pull --news può anche visualizzare l'avviso.

Guix utilizza un modello di “rilascio progressivo”. Tutte le correzioni di bug di sicurezza vengono inviate direttamente al ramo master. Non esiste un ramo “stabile” che riceva solo correzioni di sicurezza.