Sicherheit
Wie Sie Sicherheitsprobleme melden
Um sensible Sicherheitslücken in Guix selbst oder den bereitgestellten Paketen zu melden, können Sie eine Nachricht an die private Mailing-Liste guix-security@gnu.org schicken. Diese Liste wird von einer kleinen Gruppe von Guix-Entwicklern beobachtet.
Wenn Sie es bevorzugen, Ihre Meldung in einer mit OpenPGP verschlüsselten E-Mail zu übermitteln, senden Sie diese bitte einem der folgenden Guix-Entwickler unter Nutzung des entsprechenden OpenPGP-Schlüssels:
- Leo Famulari
- 4F71 6F9A 8FA2 C80E F1B5 E1BA 5E35 F231 DE1A C5E0
- Ludovic Courtès
- 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
- Mark H Weaver
- D919 0965 CE03 199E AF28 B3BE 7CEF 2984 7562 C516
- Ricardo Wurmus
- BCA6 89B6 3655 3801 C3C6 2150 197A 5888 235F ACAC
Signaturen der Veröffentlichungen
Veröffentlichungen von Guix werden mit dem OpenPGP-Schlüssel mit dem Fingerabdruck 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5 signiert. Benutzer sollten heruntergeladene Dateien label, bevor sie diese entpacken oder ausführen.
Sicherheitsaktualisierungen
Wenn Sicherheitslücken in Guix oder den von Guix bereitgestellten Paketen gefunden werden, werden wir schnell label ausliefern, mit minimaler Beeinträchtigung für die Nutzer. Wenn es angemessen ist, wird ein Sicherheitshinweis auf dem Blog veröffentlicht, der als Sicherheitshinweis eingeordnet ist, sowie eine Nachricht an die Mailing-Liste info-guix
versendet. Der Hinweis kann auch mit guix pull --news
angezeigt werden.
Guix verfolgt ein Rolling-Release-Modell. Jeder Patch, der eine Sicherheitslücke beseitigt, wird direkt auf den „master“-Branch gepusht. Es gibt keinen „stable“-Branch, der nur Sicherheitsaktualisierungen erhält.