
<div dir="ltr"><div>Thanks for this info, this is very helpful for us. <br></div><div><br></div><div>I'm gaining that any matching between CentOS packages and RHEL packages will be a "best guess" effort at best. <br></div><div><br></div><div>This is good information, and is what I sought out to gather. <br></div><div><br></div><div>Appreciate your response.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Apr 9, 2021 at 11:54 AM Johnny Hughes <<a href="mailto:johnny@centos.org">johnny@centos.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 4/9/21 10:27 AM, Louis DeLosSantos wrote:<br>

> Hello,<br>

> <br>

> My name is Louis and I'm the core maintainer of Clar:<br>

> <a href="https://github.com/quay/clair" rel="noreferrer" target="_blank">https://github.com/quay/clair</a> <<a href="https://github.com/quay/clair" rel="noreferrer" target="_blank">https://github.com/quay/clair</a>><br>

> <br>

> Clair is a project for scanning containers for vulnerabilities.<br>

> <br>

> We'd like to support CentOS but we need a little help in the form of<br>

> information gathering.<br>

> <br>

> For Clair to properly support a distribution we typically require it to<br>

> have an official upstream vulnerability database. For example, RHEL has<br>

> their own Oval 2 feeds as does<br>

> Ubuntu, Suse, etc...<br>

> <br>

> What we are trying to determine is how we can extract packages from<br>

> CentOS containers and match against known vulnerabilities.<br>

> <br>

> We have the first half worked out already, we have generic RPM database<br>

> scanners which extract package names and versions.<br>

> <br>

> The second half is where we need some more information.<br>

> <br>

> A few questions:<br>

> * Does CentOS maintain its own security database for packages in its<br>

> downstream repositories ?<br>

> * If not, can we reliably treat any CentOS packages (name, versions)<br>

> identical to the way we treat RHEL packages. (For instance if we find<br>

> package A with version B can we attempt to match this against RHEL's<br>

> Oval v2 stream?)<br>

> * Can you provide any information on package naming, versioning, and<br>

> packaging that creates a difference between RHEL packages and CentOS?<br>

> <br>

> Thank you for your time, I look forward to hearing back.<br>

> <br>

<br>

CentOS 8 Linux is going EOL in 7 months .. I would not recommend doing<br>

anything for that WRT security info.<br>

<br>

CentOS 8 Stream will not have the exact versions from RHEL .. it will be<br>

slightly ahead of released RHEL (it will the the source code which will<br>

become the NEXT point release of RHEL .. usually between 1 and 6 months<br>

ahead of the current RHEL).<br>

<br>

CentOS 7 Linux is a direct rebuild of release RHEL 7 source code.<br>

However, neither the CentOS Project or Red Hat provide any assurance<br>

that CentOS has or fixes ANY security issues.  We have never tested for<br>

any, and we never will.  CentOS Linux 7 is just built source code that<br>

users decide either meets or does not meet their requirements.<br>

<br>

We announce CentOS 7 Linux updates here:<br>

<a href="https://lists.centos.org/pipermail/centos-announce/" rel="noreferrer" target="_blank">https://lists.centos.org/pipermail/centos-announce/</a><br>

<br>

That lists our shasums .. and a link to what Red Hat said the update was<br>

for .. BUT .. the CentOS Project does not do any validations or make any<br>

claims about the software other than we built and released the packages.<br>

We also make it easier for users to look at what the update is said to<br>

have fixed. But, it is the user's responsibility to test anything they<br>

want to test prior to use.<br>

<br>

As to any assumptions to whether or not the same version of a RHEL and<br>

CentOS Linux package is the same .. we make no claims on that either.<br>

The were built, in a different closed build system, from the same source<br>

code.  The build systems are completely different .. so the packages are<br>

never identical.  Only an individual user can determine if this is good<br>

enough for them to use.  Only they can determine the risk they are<br>

willing to accept for testing they require for assurance WRT security.<br>

The purpose of all the testing that RHEL does and the software assurance<br>

they provide (for a cost) is why RHEL exists.  That is the only Red Hat<br>

distribution that exists that has this assurance.<br>

_______________________________________________<br>

CentOS-devel mailing list<br>

<a href="mailto:CentOS-devel@centos.org" target="_blank">CentOS-devel@centos.org</a><br>

<a href="https://lists.centos.org/mailman/listinfo/centos-devel" rel="noreferrer" target="_blank">https://lists.centos.org/mailman/listinfo/centos-devel</a><br>

<br>

</blockquote></div>