<div dir="ltr"><div>Thanks for this info, this is very helpful for us. <br></div><div><br></div><div>I'm gaining that any matching between CentOS packages and RHEL packages will be a "best guess" effort at best. <br></div><div><br></div><div>This is good information, and is what I sought out to gather. <br></div><div><br></div><div>Appreciate your response.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Apr 9, 2021 at 11:54 AM Johnny Hughes <<a href="mailto:johnny@centos.org">johnny@centos.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 4/9/21 10:27 AM, Louis DeLosSantos wrote:<br>
> Hello,<br>
> <br>
> My name is Louis and I'm the core maintainer of Clar:<br>
> <a href="https://github.com/quay/clair" rel="noreferrer" target="_blank">https://github.com/quay/clair</a> <<a href="https://github.com/quay/clair" rel="noreferrer" target="_blank">https://github.com/quay/clair</a>><br>
> <br>
> Clair is a project for scanning containers for vulnerabilities.<br>
> <br>
> We'd like to support CentOS but we need a little help in the form of<br>
> information gathering.<br>
> <br>
> For Clair to properly support a distribution we typically require it to<br>
> have an official upstream vulnerability database. For example, RHEL has<br>
> their own Oval 2 feeds as does<br>
> Ubuntu, Suse, etc...<br>
> <br>
> What we are trying to determine is how we can extract packages from<br>
> CentOS containers and match against known vulnerabilities.<br>
> <br>
> We have the first half worked out already, we have generic RPM database<br>
> scanners which extract package names and versions.<br>
> <br>
> The second half is where we need some more information.<br>
> <br>
> A few questions:<br>
> * Does CentOS maintain its own security database for packages in its<br>
> downstream repositories ?<br>
> * If not, can we reliably treat any CentOS packages (name, versions)<br>
> identical to the way we treat RHEL packages. (For instance if we find<br>
> package A with version B can we attempt to match this against RHEL's<br>
> Oval v2 stream?)<br>
> * Can you provide any information on package naming, versioning, and<br>
> packaging that creates a difference between RHEL packages and CentOS?<br>
> <br>
> Thank you for your time, I look forward to hearing back.<br>
> <br>
<br>
CentOS 8 Linux is going EOL in 7 months .. I would not recommend doing<br>
anything for that WRT security info.<br>
<br>
CentOS 8 Stream will not have the exact versions from RHEL .. it will be<br>
slightly ahead of released RHEL (it will the the source code which will<br>
become the NEXT point release of RHEL .. usually between 1 and 6 months<br>
ahead of the current RHEL).<br>
<br>
CentOS 7 Linux is a direct rebuild of release RHEL 7 source code.<br>
However, neither the CentOS Project or Red Hat provide any assurance<br>
that CentOS has or fixes ANY security issues.  We have never tested for<br>
any, and we never will.  CentOS Linux 7 is just built source code that<br>
users decide either meets or does not meet their requirements.<br>
<br>
We announce CentOS 7 Linux updates here:<br>
<a href="https://lists.centos.org/pipermail/centos-announce/" rel="noreferrer" target="_blank">https://lists.centos.org/pipermail/centos-announce/</a><br>
<br>
That lists our shasums .. and a link to what Red Hat said the update was<br>
for .. BUT .. the CentOS Project does not do any validations or make any<br>
claims about the software other than we built and released the packages.<br>
We also make it easier for users to look at what the update is said to<br>
have fixed. But, it is the user's responsibility to test anything they<br>
want to test prior to use.<br>
<br>
As to any assumptions to whether or not the same version of a RHEL and<br>
CentOS Linux package is the same .. we make no claims on that either.<br>
The were built, in a different closed build system, from the same source<br>
code.  The build systems are completely different .. so the packages are<br>
never identical.  Only an individual user can determine if this is good<br>
enough for them to use.  Only they can determine the risk they are<br>
willing to accept for testing they require for assurance WRT security.<br>
The purpose of all the testing that RHEL does and the software assurance<br>
they provide (for a cost) is why RHEL exists.  That is the only Red Hat<br>
distribution that exists that has this assurance.<br>
_______________________________________________<br>
CentOS-devel mailing list<br>
<a href="mailto:CentOS-devel@centos.org" target="_blank">CentOS-devel@centos.org</a><br>
<a href="https://lists.centos.org/mailman/listinfo/centos-devel" rel="noreferrer" target="_blank">https://lists.centos.org/mailman/listinfo/centos-devel</a><br>
<br>
</blockquote></div>