c724827a92562512cd0cf176257dcb4bf0cf2996
[gnupg-doc.git] / web / documentation / security.org
1 #+TITLE: GnuPG - Security
2 #+STARTUP: showall
3 #+SETUPFILE: "../share/setup.inc"
4
5 * Security
6
7 The GnuPG Project takes the security of software it develops very
8 seriously.  In general we prefer a [[https://en.wikipedia.org/wiki/Full_disclosure_(computer_security)][full disclosure]] approach and all
9 bugs listed in our [[file:bts.org][bug tracker]] as well as code changes in our [[../download/git.org][software
10 repository]] are public.  Given that GnuPG is an important part of many
11 software distributions and severe bugs in GnuPG would affect their
12 users directly, we co-ordinate with them in private as soon as we
13 learn about a severe vulnerability.
14
15 Sometimes we receive pre-notifications of research which may lead to a
16 new kind of vulnerability.  In these cases we may work with the
17 researchers in private on a solution and co-ordinate our fix release
18 with them.
19
20 ** Security contact
21
22 If you found a *severe* security problem and you do not want to
23 publish it, please report it by mail to security at gnupg.org.
24
25 Note that we do not use a team OpenPGP key.  Thus please write a
26 non-encrypted message to the security address and ask for the keys of
27 the developers at duty and then encrypt the mail to all of them.  A
28 list of our core developers can be found [[../people/index.org][here]]; they are all active on
29 the gnupg-devel mailing list.