Guix

Sikkerhet

Hvordan rapportere sikkerhetsproblemer

For å rapportere sensitive sikkerhetsproblemer i selve Guix eller pakkene det tilbyr kan du skrive til den private epostlisten guix-security@gnu.org. Denne blir overvåket av et lite team av Guix-utviklere.

Hvis du foretrekker å sende rapporten med OpenPGP-kryptert epost, vennligst send til en av de følgende Guix-utviklerne med deres respektive OpenPGP-nøkkel:

• Leo Famulari
  • 6840 722E EEE4 D3A6 4EE5 3EAC 6AAC 1963 757F 47FF
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B
• John Kehayias
  • 7E9F 5BF6 1680 4367 127B 7A87 F9E6 9FB8 5A75 54F1

Utgivelsessignaturer

Utgivelser av Guix er signert med en av følgende OpenPGP-nøkler:

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès

Brukere bør verifisere nedlastingene før de pakker ut eller kjører de.

Sikkerhetsoppdateringer

Når sårbarheter blir funnet i Guix eller en av pakkene som tilbys av Guix vil vi tilby sikkerhetsoppdateringer raskt med minimale ubeleiligheter for brukere. Når passende vil en sikkerhetsrådgivning bli publisert på bloggen med taggen Security Advisory, og på epostlisten info-guix; guix pull --news kan også vise rådet.

Guix bruker en “rullende utgivelse”-modell. Alle sikkerhetsfikser legges direkte på “master-branchen”. Det finnes ingen “stable” branch som kun får sikkerhetsfikser.