Guix

Segurança

Como reportar problemas de segurança

Para reportar problemas de seguranças sensíveis no Guix ou pacotes que ele fornece, você pode escrever para a lista de correio privadaguix-security@gnu.org. Essa lista é monitorada por um time pequeno de desenvolvedores Guix.

Se você preferir enviar um reporte usando o email encriptado OpenPGP, por favor envie para um dos seguintes desenvolvedor Guix usando sua respectiva chave OpengPGP:

• Leo Famulari
  • 4F71 6F9A 8FA2 C80E F1B5 E1BA 5E35 F231 DE1A C5E0
• Ludovic Courtès
  • 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B

Lançamento de assinaturas

Lançamentos do Guix são assinadas usando uma das seguintes chaves OpenPGP:

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer (da versão 1.3.0)
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès (até a versão 1.2.0)

Os usuários devem verificar seus downloads antes de extraí-los ou executá-los.

Atualizações de segurança

When security vulnerabilities are found in Guix or the packages provided by Guix, we will provide security updates quickly and with minimal disruption for users. When appropriate, a security advisory is published on the blog with the Security Advisory tag and on the info-guix mailing list; guix pull --news may also display the advisory.

Guix uses a “rolling release” model. All security bug-fixes are pushed directly to the master branch. There is no “stable” branch that only receives security fixes.