<div dir="ltr">Hi,<div><br></div><div>visit<br></div><div><br></div><div><a href="https://www.virustotal.com/" target="_blank">https://www.virustotal.com/</a><br></div><div><br></div><div>and scan your RPM. You will get a list of virus scan software that supports RPMs.</div><div><br></div><div>We use</div><div><br></div><div>Sophos AV for Linux used via <a href="https://www.mailscanner.info/">MailScanner</a>.</div><div><br></div><div><a href="https://community.sophos.com/products/endpoint-security-control/f/sophos-endpoint-software/9418/scan-linux-package-files" target="_blank">https://community.sophos.com/products/endpoint-security-control/f/sophos-endpoint-software/9418/scan-linux-package-files</a><br></div><div><br></div><div>thanks<br><br>--<br><br>Thomas Stephen Lee<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jun 12, 2019 at 7:54 AM Mihai Moldovan <<a href="mailto:ionic@ionic.de" target="_blank">ionic@ionic.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">* On 6/12/19 4:16 AM, Young, Gregory wrote:<br>
> I would suggest, after the build is completed, have clamav scan the sources, as part of the build section of the RPM spec. Once the RPM is built, make sure to GPG sign it and also publish your public key so GPG signature checking can be enabled. In this way, you satisfy the AV scan requirement on the package contents before packaging, and you sign the package during build to help ensure it hasn't been tampered with post build.<br>
<br>
That implies that virus scanners are able to detect malicious source code, which<br>
doesn't seem likely, since they mostly look for binary patterns (notwithstanding<br>
stuff like VBScript) and that the build machine was not itself infected and<br>
spews out malicious binaries for clean source code.<br>
<br>
Doesn't sound like a good way to go to me.<br>
<br>
<br>
> Obviously, you need to go through all the rigamarol to ensure signature checking is enabled on the destination devices, and that your key is imported and trusted (and you will want to sign your repo if you use one as well, and enable repo signature checking), and also ensure that unsigned RPMs cannot be installed.<br>
<br>
Together with signing you could however transfer the RPM file to a trusted<br>
scanning box, check the signature, unpack the file (rpm2cpio ... | cpio<br>
--extract --make-directories) into a staging directory and use clamav's manual<br>
scanner on that staging directory. This can easily be done on a CentOS box with<br>
EPEL packages and a bit of automation scripts. That approach also assumes that<br>
you have a "trusted scanning box", but all this snake oil expects a trusted<br>
something at some point in the chain.<br>
<br>
<br>
<br>
Mihai<br>
<br>
_______________________________________________<br>
CentOS-devel mailing list<br>
<a href="mailto:CentOS-devel@centos.org" target="_blank">CentOS-devel@centos.org</a><br>
<a href="https://lists.centos.org/mailman/listinfo/centos-devel" rel="noreferrer" target="_blank">https://lists.centos.org/mailman/listinfo/centos-devel</a><br>
</blockquote></div>