Abbiamo un'applicazione in cui una cerchia ristretta di utenti deve caricare file, principalmente dati in formato XML ma anche testi leggibili in PDF, Word, ecc. Si tratta di dati altamente sensibili, quindi qualsiasi controllo dei virus deve essere fatto localmente sul nostro server.
Il flusso di lavoro corrente è che l'utente vede una finestra di selezione file, carica e il file viene scansionato sul nostro server. Se viene rilevato un virus, il file viene rifiutato e non caricato, quindi il processo aziendale viene interrotto e non può continuare finché l'utente non produce un altro file accettato.
Dato che stiamo usando un server Ubuntu, abbiamo scelto ClamAV come scanner dei virus. Con solo pochi caricamenti, abbiamo riscontrato tassi di falsi positivi eccessivi che sono molto fastidiosi per i nostri utenti. Tre esempi:
- un file XML ha attivato l'antivirus. Abbiamo scoperto che passa se viene aggiunta una BOM .
- un file PDF dalla repubblica ceca è stato respinto. Quando i segni diacritici sono stati rimossi dal nome file, è stato accettato.
- è stato rifiutato uno standard ISO che abbiamo caricato come file di test. Questo è un PDF creato e venduto direttamente dall'ISO. Non abbiamo trovato un modo per cambiarlo, quindi viene accettato.
Non è possibile gestire manualmente ciascuno di questi rifiuti. Quali sono le alternative che ci consentono di fissare il tasso di falsi positivi di ClamAV o di utilizzare un diverso processo di scansione (entro la restrizione che non consentiamo a nessun servizio esterno di accedere ai dati)?