Guix

セキュリティ

セキュリティ上の問題を報告する方法

Guix それ自身または提供されるパッケージのセンシティブなセキュリティ上の問題を報告する場合は、プライベートメーリングリストである guix-security@gnu.org に報告することができます。このメーリングリストは Guix 開発者の小さなチームによって監視されています。

もし OpenPGP で暗号化されたメールを利用して報告したい場合は、以下の Guix 開発者のそれぞれの OpenPGP キーを使用して送信してください：

• Leo Famulari
  • 6840 722E EEE4 D3A6 4EE5 3EAC 6AAC 1963 757F 47FF
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B
• John Kehayias
  • 7E9F 5BF6 1680 4367 127B 7A87 F9E6 9FB8 5A75 54F1

リリース署名

Guix のリリースは以下のいずれかの OpenPGP キーを使用して署名されています：

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès

ユーザーはダウンロードしたファイルを展開または実行する前に検証する 必要があります。

セキュリティアップデート

Guix または Guix によって提供されるパッケージにセキュリティ脆弱性が見つかった時は、セキュリティアップデートを速やかに提供し、ユーザーへの影響を最小限にします。適切なタイミングで、Security Advisory タグを付与したブログ記事、および、<3.1>info-guix</3.1>メーリングリスト</3>にセキュリティ勧告が公開されます。guix pull --news でも勧告が表示される場合があります。

Guix は「ローリングリリース」モデルを採用しています。すべてのセキュリティバグ修正は master ブランチに直接プッシュされます。セキュリティ修正を受け取るだけの "stable" ブランチはありません。