Guix

Segurança

Como reportar problemas de segurança

Para reportar problemas de seguranças sensíveis no Guix ou pacotes que ele fornece, você pode escrever para a lista de correio privadaguix-security@gnu.org. Essa lista é monitorada por um time pequeno de desenvolvedores Guix.

Se você preferir enviar um reporte usando o email encriptado OpenPGP, por favor envie para um dos seguintes desenvolvedor Guix usando sua respectiva chave OpengPGP:

• Leo Famulari
  • 6840 722E EEE4 D3A6 4EE5 3EAC 6AAC 1963 757F 47FF
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B
• John Kehayias
  • 7E9F 5BF6 1680 4367 127B 7A87 F9E6 9FB8 5A75 54F1

Lançamento de assinaturas

Lançamentos do Guix são assinadas usando uma das seguintes chaves OpenPGP:

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès

Os usuários devem verificar seus downloads antes de extraí-los ou executá-los.

Atualizações de segurança

Quando vulnerabilidades de segurança forem encontradas no Guix ou nos pacotes fornecidos pelo Guix, forneceremos atualizações de segurança rapidamente e com o mínimo perturbação para os usuários. Quando apropriado, um aviso de segurança é publicado no blog com a etiqueta Security Advisory e na info-guixlista de discussão; guix pull --news também pode exibir o aviso.

Guix usa um modelo de “lançamento contínuo”. Todas as correções de bugs de segurança são enviadas diretamente para o branch master. Não existe um branch “estável” que receba apenas correções de segurança.