Guix

Säkerhet

Hur man rapporterar säkerhetsproblem

För att rapportera känsliga säkerhetsproblem i Guix själv eller paketen den tillhandahåller kan du skriva till den privata sändlistan guix-security@gnu.org. Denna lista övervakas av ett litet gäng Guix-utvecklare.

Om du föredrar att skicka din rapport via OpenPGP-krypterad e-post, var god skicka den till en av följande Guix-utvecklare genom att använda deras respektive OpenPGP-nyckel:

• Leo Famulari
  • 6840 722E EEE4 D3A6 4EE5 3EAC 6AAC 1963 757F 47FF
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B
• John Kehayias
  • 7E9F 5BF6 1680 4367 127B 7A87 F9E6 9FB8 5A75 54F1

Utgåvesignaturer

Utgåvor av Guix signeras genom att använda en av följande OpenPGP-nycklar:

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès

Användare bör bekräfta sina hämtningar innan dessa extraheras eller körs.

Säkerhetsuppdateringar

Då sårbarheter i säkerheten upptäcks i Guix eller paketen som Guix tillhandahåller kommer vi att erbjuda säkerhetsuppdateringar snabbt och med minimal störning för användarna. När det är lämpligt kommer en säkerhetsrådgivning att publiceras på bloggen med taggen Security Advisory och på sändlistan info-guix ; guix pull --news kan också visa rådet.

Guix använder en "rullande utgåvemodell". Alla säkerhetsfelfixar läggs direkt till i master branch. Det finns ingen "stable" branch som enbart tar emot säkerhetsfixar.