/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/11/ritiro-firme-virali-clamav.jpg "ClamAV ritira le firme virali: cosa cambia sui sistemi Linux da dicembre 2025")
Nonostante la sua lunga storia si cominciata nel 2002, ClamAV continua a essere uno dei pilastri dell’ecosistema di sicurezza open source. Il suo valore non risiede nella capacità di sostituire le moderne soluzioni di Endpoint Detection and Response (EDR), ma nella sua specializzazione: intercettare e bloccare le minacce note prima che siano distribuite o memorizzate all’interno delle infrastrutture. ClamAV è ancora la scelta naturale quando serve un motore antivirus leggero, integrabile, gratuito e capace di operare “a monte”, soprattutto in ambienti server o infrastrutturali. Fa notizia che oggi i manutentori del progetto ClamAV abbiano scelto di ritirare le firme obsolete.
Cosa sta a significare il ritiro delle firme di ClamAV?
Nel contesto della sicurezza informatica, le firme sono identificatori univoci — spesso pattern di byte, hash, stringhe o caratteristiche strutturali — utilizzati dai motori antivirus per riconoscere versioni specifiche di malware o famiglie note. Ogni firma rappresenta una sorta di “impronta digitale” di un file malevolo già analizzato in passato: quando ClamAV trova una corrispondenza tra un file e una firma presente nel suo database, segnala la presenza di un potenziale malware.
Il ritiro delle firme ha a che fare con la rimozione, dal database ufficiale di ClamAV, di tutte le firme antivirali considerate obsolete, irrilevanti o non più utili nel panorama delle minacce attuale.
Non si tratta di una perdita di protezione, ma di un processo di ottimizzazione per mantenere ClamAV più leggero, più efficiente e più sostenibile da distribuire.
Perché Cisco Talos è responsabile di ClamAV
ClamAV nasce come progetto open source indipendente, per poi essere gestito da Sourcefire. Nel 2013 Cisco acquisisce Sourcefire, e con essa ClamAV.
La gestione del motore antivirus e del database delle firme è perciò assegnata alla divisione di threat intelligence di Cisco: Talos Intelligence Group, oggi uno dei più grandi team di ricerca sulle minacce al mondo. Talos si occupa del codice sorgente di ClamAV, del rilascio delle versioni e del ciclo di patching.
Le firme main.cvd e daily.cvd (il primo contenente firme consolidate; il secondo firme recenti e in rapido aggiornamento) sono generate e curate dal team di Cisco Talos usando la telemetria globale Cisco, feed di intelligence nonché attività di analisi manuale e automatizzata dei malware.
Riduzione delle dimensioni del database delle firme
Il primo passaggio dell’iniziativa volta a rendere ClamAV più snello ed efficace, comporta una riduzione significativa delle dimensioni dei file delle firme, sia per main.cvd che per daily.cvd.
Per dare un’idea di massima, dopo il ritiro delle firme dal 16 dicembre 2025, il peso del primo file passerà a circa 80 MB (con una riduzione di più del 50%), il secondo a 22 MB (dimensioni quasi 3 volte inferiori).
Questa ottimizzazione non solo riduce il carico di download, ma migliora anche le performance del motore antivirus, con una possibile riduzione del 25% del consumo di RAM durante la scansione.
Le firme saranno ritirate in base a dati concreti provenienti dai feed di minacce di Cisco Talos e dei partner, valutando la prevalenza delle rilevazioni nel tempo. Firme considerate obsolete potranno essere reinserite se si riscontrerà un ritorno di attività malevole relativa.
Aggiornamenti anche sui container Docker di ClamAV
Oltre alla riduzione delle firme, ClamAV provvederà a ritirare i container Docker obsoleti per eliminare immagini che potrebbero contenere vulnerabilità lato software o nella base dell’immagine stessa. Attualmente, Docker Hub ospita oltre 300 GB di immagini ClamAV, un volume non più sostenibile.
D’ora in avanti, saranno disponibili solo i container per le versioni supportate:
| Release | Tag disponibili |
|---|---|
| 1.5 | 1.5, 1.5.1, latest, stable |
| 1.4 LTS | 1.4, 1.4.3 |
| 1.0 LTS | 1.0, 1.0.9 |
Cisco Talos consiglia di selezionare i tag corrispondenti a feature release (ad esempio 1.5 o 1.4 LTS) anziché versioni minori, in modo da essere certi di ricevere aggiornamenti di sicurezza e bug fix.
Dove e quando ClamAV è ancora la scelta giusta
Come spieghiamo nell’articolo in cui spieghiamo se Linux sia davvero immune ai malware Windows, ClamAV rimane lo standard de-facto nei filtri antimalware dei server di posta, come in Postfix + Amavis/ClamAD, Exim con scanner esterni, soluzioni integrate in antispam open source (Rspamd, MailScanner). Qui intercetta allegati Windows PE, macro malevole presenti nei documenti Office, exploit nei file PDF prima che raggiungano i client. È molto più economico e semplice di un motore EDR e soddisfa esattamente la necessità di filtrare i contenuti prima che siano aperti.
In ambienti misti Linux/Windows, ClamAV è ad esempio usato per evitare che un utente con un terminale compromesso carichi su una condivisione SMB un malware destinato ai client Windows. Ad esempio NAS commerciali o lo stesso TrueNAS eseguono periodicamente l’istruzione clamscan -r /mnt/storage/ --move=/quarantine/ per intercettare e bloccare malware Windows copiato accidentalmente su cartelle condivise.
Molte applicazioni backend — in PHP, Node.js, Django, Rails — integrano ClamAV tramite librerie come clamdscan via socket, API JSON per clamav-daemon, moduli linguaggio-specifici (ad esempio pyclamd, node-clam). La scansione avviene prima che il file sia salvato o mostrato ad altri utenti. Un esempio pratico? Un’app che gestisce upload di curriculum in PDF usa ClamAV “dietro le quinte”: se il PDF contiene exploit noti, l’upload è subito bloccato e viene restituito un errore.
Su workstation Linux personali, ClamAV non è un sostituto di un EDR, ma rimane utile per controllare chiavette USB ricevute dall’esterno, directory condivise, backup provenienti da PC Windows infetti.
/https://www.ilsoftware.it/app/uploads/2025/11/linus-torvalds-vibe-coding-AI-linux.jpg "Vibe Coding, AI e Linux: Linus Torvalds spiega limiti, opportunità e futuro dei programmatori")
/https://www.ilsoftware.it/app/uploads/2025/11/ubuntu-supporto-15-anni.jpg "Ubuntu estende il supporto a 15 anni: cosa cambia con Legacy?")
/https://www.ilsoftware.it/app/uploads/2025/11/sudo-rs-vulnerabilita-ubuntu.jpg "Perché le vulnerabilità in sudo-rs (Ubuntu) non dovrebbero fare notizia, e invece fanno rumore?")
/https://www.ilsoftware.it/app/uploads/2025/11/memoria-persistente-linux-RAMDAX-microsoft.jpg "RAMDAX è il nuovo driver Microsoft per la memoria persistente su Linux 6.19")