Segurança
Como reportar problemas de segurança
Para reportar problemas de seguranças sensíveis no Guix ou pacotes que ele fornece, você pode escrever para a lista de correio privadaguix-security@gnu.org. Essa lista é monitorada por um time pequeno de desenvolvedores Guix.
Se você preferir enviar um reporte usando o email encriptado OpenPGP, por favor envie para um dos seguintes desenvolvedor Guix usando sua respectiva chave OpengPGP:
- Leo Famulari
- 4F71 6F9A 8FA2 C80E F1B5 E1BA 5E35 F231 DE1A C5E0
- Ludovic Courtès
- 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
- Tobias Geerinckx-Rice
Lançamento de assinaturas
Lançamentos do Guix são assinadas usando uma das seguintes chaves OpenPGP:
- 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
- Maxim Cournoyer (da versão 1.3.0)
- 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
- Ludovic Courtès (até a versão 1.2.0)
Os usuários devem verificar seus downloads antes de extraí-los ou executá-los.
Atualizações de segurança
When security vulnerabilities are found in Guix or the packages provided by Guix, we will provide security updates quickly and with minimal disruption for users. When appropriate, a security advisory is published on the blog with the Security Advisory tag and on the info-guix
mailing list; guix pull --news
may also display the advisory.
Guix uses a “rolling release” model. All security bug-fixes are pushed directly to the master branch. There is no “stable” branch that only receives security fixes.