Guix

安全

如何报告安全问题

如果想报告 Guix 自身或提供的软件包的安全问题，您可以发邮件到这个私密邮件列表 guix-security@gnu.org。这个邮件列表只由一小部分 Guix 开发者监管。

如果想使用 OpenPGP 加密报告邮件，请使用下列 Guix 开发者的 OpenPGP 公钥加密并发送给相应的人：

• Leo Famulari
  • 6840 722E EEE4 D3A6 4EE5 3EAC 6AAC 1963 757F 47FF
• Tobias Geerinckx-Rice
  • F5BC 5534 C36F 0087 B39D 36EF 1C9D C4FE B9DB 7C4B
• John Kehayias
  • 7E9F 5BF6 1680 4367 127B 7A87 F9E6 9FB8 5A75 54F1

发布签名

Guix 发布版本使用下列 OpenPGP 密钥之一进行签名：

• 27D5 86A4 F890 0854 329F F09F 1260 E464 82E6 3562
  • Maxim Cournoyer
• 3CE4 6455 8A84 FDC6 9DB4 0CFB 090B 1199 3D9A EBB5
  • Ludovic Courtès

用户应该在解压和运行之前验证下载文件的签名。

安全更新

当在Guix或它提供的软件包里发现安全问题时，我们会及时提供安全更新，并最小化对用户的影响。合适时，还会在博客和info-guix邮件列表上发布安全公告，并打上安全公告标签。guix pull --news也会展示相关公告。

Guix使用“滚动发行”模式。所有的安全更新都直接推到主分支上。我们没有只接受安全更新的“稳定”分支。