情况是这样的,我们公司一直用 gitlab ,搭建在阿里云服务器上,作为公司内部开发代码仓库。但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题。
直到今天上午,我们发现在提交代码的时候冲突,就觉得奇怪,然后就上 gitlab 看了一眼,发现被人从 gitlab 的 web 端登录,并将恶意代码提交到了我们的仓库中。。。
顿时吓出一身冷汗啊!绝绝子!
上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。
各位老哥,请问有没有能替代 gitlab 的项目,最好也是开源免费的,功能不用太多,够用就行,名气最好别太大。我们已经不敢再用 gitlab 了。
 |
101
byte10 Feb 25, 2022  8
我一直都认为这个世界上很多不懂运维的人的,楼主被喷真的是没有被冤枉的。连 windows 都有漏掉啊,macos 都有漏洞的,nginx 也有漏洞,虽然漏洞的本身有大有小。既然都提示有漏洞还不处理更新下。还有很多大聪明,比如把 jumpserver 放到公网的,git 仓库算是非常重要的吧,居然有人放公网(大猪投会解释,我有 https 啊,连最基本的本质问题没搞明白),还有 maven 私库 也有很多人放公网,这样的大聪明非常的多。现实中我都是直接邮件过去,提示安全隐患,但是很多大聪明知识和认知都无法理解。所以科普知识非常的重要,需要大家传递。
再给一个例子,spring cloud config 曾经暴露过一个高危漏洞,大概就是可以通过请求 访问到服务上任何路径的文件。大聪明会这样想的,配置中心都是内网的啊,没啥担心的啊。这意味着,任何进入正式环境的内网的人都可以访问到这个服务,而进入内网的权限相对比较小,比如很多普通的研发都可以进入正式环境的内网访问,这样就会产生安全问题了,但是很多人不把这些权限边界处理好。 希望楼主能改过自新,多多了解下 -问题的本质,事情的本质,很多事情其实非常的简单。 |
 |
102
glfpes Feb 25, 2022 2
不得不再一次感叹,程序员之间的差距实在是大,大到“程序员”这个名词已经没啥代表的含义了,不管是技术还是收入。
|
 |
103
0xLittleFi Feb 25, 2022
如何在地球爆炸时,保证你的服务还能正常运行 (* ̄︶ ̄)
|
 |
104
jsq2627 Feb 25, 2022 2
1. 把内部服务开放的公网上,并非不可。前提是能保证及时升级,及时打补丁,有安全团队能及时对 0day 做出应对
2. 对于一个应用,做到上述也许不难。假设有 100 个内部服务,全部都暴露到公网上,每个应用都要及时升级打补丁,那就非常困难了 3. 所以为啥要用 VPN 组内网?只要把控好 VPN 安全,就能抵御绝大多数攻击了 gitlab 替代品当然有很多,比如 GitHub Enterprise 私有部署。愿意花钱啥都有 “最好也是开源免费的,功能不用太多,够用就行“ 楼上提了很多非商业的开源项目,只要愿意忍受比 gitlab 更多的漏洞,那么随便使用。 |
 |
105
v66ex Feb 25, 2022
linux 名气也很大,也有漏洞,那你换系统吧
|
|
106
jsq2627 Feb 25, 2022 3
另外,相比安全知识和运维知识,楼主更需要的是这个
https://github.com/ryanhanwu/How-To-Ask-Questions-The-Smart-Way/blob/main/README-zh_CN.md |
 |
107
ZE3kr Feb 25, 2022
@superchijinpeng 因为放在 Gitlab.com 不容易被黑啊!
|
 |
108
Archeb Feb 25, 2022
"本身漏洞百出也是理所应当?" 还真是理所应当,至少人家有漏洞也没义务向你负责,你自己不修只能怪你自己,看你原文里说的“最好也是开源免费的”,我想你大概没有向 gitlab 公司交钱吧?
那楼主要不要看下 GitLab 开源版本所使用的 MIT 协议是怎么说的 The Software is provided “as is”, without warranty of any kind, express or implied, including but not limited to the warranties of merchantability, fitness for a particular purpose and noninfringement. In no event shall the authors or copyright holders be liable for any claim, damages or other liability, whether in an action of contract, tort or otherwise, arising from, out of or in connection with the software or the use or other dealings in the Software. 本软件是按原样提供的,没有任何形式的明示或暗示的保证,包括但不限于对适销性、特定用途的适用性和不侵权的保证。在任何情况下,作者或版权持有人都不对任何索赔、损害或其他责任负责,无论这些追责来自合同、侵权或其它行为中,还是产生于、源于或有关于本软件以及本软件的使用或其它处置。 |
 |
109
zackwu Feb 25, 2022
贵司需要更专业更懂安全的运维……如果楼主是开发的话,就老老实实当 dev 吧,别揽 DevOps 的活了。
|
 |
110
Yadomin Feb 25, 2022 4
『抛开事实不谈,Gitlab 就一点问题没有吗』
『哪怕我司运维占 99.999%的责任,你们 Gitlab 就不用承担那 0.001% 的锅吗』 |
 |
111
Huelse Feb 25, 2022 1
我觉得放公网无可厚非啊,本来就是可能的选择,要到出问题了才说不能放公网?这是什么道理?
就像你做一个功能,结果客户非要以一种奇怪的姿势去使用然后出错了,这本身就是可能发生的事。 不应该关注这个漏洞是怎么来的?怎么去解决?怎么去做好安全工作的吗?为啥在这一个劲的喷,说不让放公网就解决问题了?这不是掩耳盗铃? |
 |
112
killva4624 Feb 25, 2022 3
1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾?
不是不能放互联网,而是既然你放在了互联网,你就要应该知道放互联网的风险。 2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当? 所有东西都有漏洞,是你在使用的时候产生了混淆:Gitlab.com 一直没问题 != 我用私有部署的 Gitlab 上互联网也没问题 3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西? 我觉得大家已经给出足够多善意的建议了,只是在楼主在描述完贵司自认为的事实,认为己方全然无责后被喷,面子总会有点过不去… 4. 如果 gitlab 本身足够安全,放公网又如何? 还是那句话,所有东西都有漏洞。gitlab.com 的服务能面对公网,后面做了多少安全设施加固呢? 产品的安全是一时的,需要不断升级的安全策略和安全应对才是永恒的。 |
 |
113
SP00F Feb 25, 2022
@ltkun #35 这确实,换做 Linux 也会存在漏洞,全扔了自己做。和楼主一样,平台提示有漏洞不当一回事,出了问题就开始抱怨要换别的开源软件,同理只要开源存在一定用户量的甚至没用户都一样会有研究漏洞的人。
最根本的原因是没有及时依照官方推送处理而已。 |
 |
114
ziseyinzi Feb 25, 2022
5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?
敢不敢直接说一下你用的什么版本,看看我们冤枉你没? |
 |
115
ronman Feb 25, 2022 via iPhone 8
楼主言论太傻逼了,只能说活该,不值得同情
|
 |
116
elong Feb 25, 2022
没出钱还要喷人家,找个付费服务再去喷吧,,,,开源的东西本来就需要及时关注更新以及漏洞补丁等问题
|
 |
117
0ZXYDDu796nVCFxq Feb 25, 2022 via Android 3
发现回复里全是逆行的,只有楼主走在正确的方向上
是这世界错了 |
 |
118
OliveGlaze Feb 25, 2022
@ncepuzs 「 5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?」楼主的嘴巴,硬就完事了,我看也是想笑。
|
 |
119
390547784 Feb 25, 2022 1
2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当?
抛开事情对错不谈,难道 gitlab 就没有一点点问题吗 [doge] |
 |
120
sprite82 Feb 25, 2022 4
> 思细级恐?
字都打不对吗 > 我们自己搭的 gitlab 的都被黑了! 我以为是和昨天 GitHub 被封号那个帖子差不多,被 gitlab 后门搞了。 看了你的内容,我也直呼“绝绝子”,特别是那句:gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全 那就别用 linux,windows 等操作系统了呗。 再看你的附言,笑死了,就像是被人喷的破防了,面子挂不住了 |
 |
121
FrankAdler Feb 25, 2022
1. 是个软件都可能有安全漏洞,内网肯定比公网安全点,gitlab 官方怎么说是他们的事,你可以以更安全的方式去使用。
2. 阿里云明确提示你有问题了,你不理,后果你是需要承担的 3. gitlab 的替代品不多,因为名气不够大社区关注少可能还不如 gitlab 安全,没发现不代表没有 4. gitlab 更新可能解决漏洞也可能引入新漏洞,各位用这个喷楼主我觉得不合适 所以不如多想想怎么安全使用 gitlab ,如服务器搭在公司内网、vpc ip 白名单、vpn 等。 |
 |
122
shenqi Feb 25, 2022
建议楼主付费使用 github 。
|
 |
123
bleaker Feb 25, 2022 3
建议转行
|
 |
124
kqz901002 Feb 25, 2022
被黑大部分都是弱密码,注意下配置
|
 |
125
gimp Feb 25, 2022
交给专业的运维来,Web 服务不是启动能用就行的。
|
 |
126
adoal Feb 25, 2022
运维和安全也是专业性很强的工种,有自己的知识体系和技能要求。会做开发、做职能管理的人并不是自然而然凭直觉就会做运维和安全的。
|
 |
127
iulo Feb 25, 2022
放公网心真大...
|
 |
128
clino Feb 25, 2022
代码 review 可以考虑用 Gerrit ,Google 用来管理 Android 代码的,也是放在公网上的。
当然还是不建议随便 ip 都能访问,如果没有几个专业的安全和运维的话。 |
 |
129
loki13 Feb 25, 2022
Gitlab 不同版本是有各种漏洞,需要投入人力去维护,团队技术支持力度不够的话,自建自管理风险真还挺高的。。。
国内的话如果已经在使用阿里云,可以考虑下阿里提供的企业代码托管服务 Codeup ,也是免费的,或者其他比如腾讯的服务,至少有人给兜底。 |
 |
130
tLbf2p3UC4BM3H1N Feb 25, 2022
有哪个程序能 100%保证自己没有漏洞?还附言怼天怼地的。
阿里云提醒你有漏洞那么就及时修补,到头来就怪别人程序不行,实属 low. |
 |
131
morphyhu Feb 25, 2022
如果仅仅只是代码库管理功能还是很多选择的,推荐 Gogs
|
 |
132
guaguaguaxia1 Feb 25, 2022
兄弟你在推特火了,没啥就是跟你说下
|
 |
133
MrYELiex Feb 25, 2022 1
> gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西
这是几百上千家互联网大厂的安全结论 小公司来问你们在这自以为是什么东西??????? |
 |
134
pusheax Feb 25, 2022 10
哎,我们做安全服务的,尤其做小型国企项目的时候,经常碰到甲方完全不能理解我们的工作。
做技术评估的时候,反反复复警告 weblogic 需要更新,反序列化是红队最常利用的漏洞之一。 等到重保给日了个穿,又开始质疑我们的评估专业性有问题。 那些看起来高大上的业务,请的都是外包的牛鬼蛇神,不懂行又不愿意干活。帮他们修个漏洞都要求爷爷告奶奶。 如果我不是做信息安全的,真的希望有黑产能来暴打 sb 厂商。 |
|
135
MrYELiex Feb 25, 2022
基本的运维常识和安全策略都不知道....
|
 |
136
holinhot Feb 25, 2022
zero trust 了解一下。上了这个风险大大降低
|
 |
137
shidapi Feb 25, 2022
@guaguaguaxia1 关键字?想去围观下
|
 |
139
efaun Feb 25, 2022
看了楼主的附言和所有评论, 只有两字配得上楼主: 活该
 |
|
140
adoal Feb 25, 2022
@pusheax 甲方表示有苦说不出,做业务系统开发的那些地方性、行业性的供应商,除了被甲方锤着勉强把业务功能凑合实现之外,其它真的是什么都不懂……还一个个拽得。
|
|
141
efaun Feb 25, 2022 1
笑死我了
 你赶快换人家的系统吧, 然后你再发个为什么换了小众的还是被黑了  |
|
142
efaun Feb 25, 2022
 |
 |
143
xiaowang9996 Feb 25, 2022 5
> 楼主的言论真的让人感觉像在撒泼。
我弟弟天天去免费球场打球,球场保安贴出告示提醒我弟弟,最近篮球场地面有点滑,最好做好打球必备措施或者穿防滑鞋,我弟弟没在意,还是穿着板鞋和赤膊去打球,打球的时候滑倒了摔骨折了,家人不让我弟弟打球了,我弟弟说:“都怪这个球场没有做好防滑处理,如果这个球场不滑,我怎么会摔骨折。” 别人说,弟弟为什么不穿防滑鞋或者护具,我弟弟说:“虽然我不穿,但球场一点问题都没有么?” 球场 -->免费的 保安 --> 提醒了 我弟弟还是我行我素。 (ಡωಡ) |
 |
144
heybuddy Feb 25, 2022
自建的 gitlab ,可以先设置阿里云 ip 白名单
|
|
145
pusheax Feb 25, 2022
@adoal
这个太有同感了。系统是第三方的,我们报告里都是给缓解措施,做访问控制之类的。除开甲方财大气粗有话语权,不太可能要求供应商开发补丁。 而且就是现在的开发外包、运维外包啊,一言难尽。为了压低成本,应届生都往高级职位那送。尤其是碰到喜欢甩锅的外包运维,气的我睡不着觉。 |
 |
146
patrickyoung Feb 25, 2022
樓主哪家公司的,快說一下。
技術能力差的感人還不自知,發帖找罵的典型。 一個軟體存在不可能沒有漏洞,軟體不可能沒有漏洞,都是人寫出來的。那按 po 主的邏輯,為啥國內這麼多大公司用 GitLab ,就你家被黑?人家幾家公司自己搭建商業運營的 GitLab 為啥沒事。 |
 |
147
ohmyzsh Feb 25, 2022
applend 笑死,数据没了,怪我们喽?
|
|
148
patrickyoung Feb 25, 2022
還有一個事情,那按照樓主的邏輯:
上网搜了一下才知道,windows/mac/linux 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。 那建議您立即斷網。 |
 |
149
sampeng Feb 25, 2022
有告警=>觉得没事=>被黑=>gitlab 就是个垃圾,居然有漏洞=>请教 v 友有有什么替代品。。。
你公司需要把负责人换了。能做出这样判断的。。。真的没谁了。。 不要抬杠,内部系统在内部网络是常识,常识的意思就是不需要说,大家都知道怎么做。公开在外网的除了云服务以外,都默认不安全有被黑风险。 被黑不一定是靠漏洞,你都说了是 web 端登陆的,就你们这个安全意识,盲猜没开二次认证,有人弱密码被彩虹表了 但凡你加一个 ip 白名单都没事。两分钟的事。 |
 |
150
xuhaoyangx Feb 25, 2022
过来看笑话
|
 |
151
marffin Feb 25, 2022
正确的思路是加强安全防范,无论是 gitlab 还是什么其他的替代品,漏洞都是不可避免的,但是安全措施是可以有效的防范攻击的,比如对 gitlab 所在的服务器做加固,以及强制特定的 ip/vpn 才能访问代码等等。
|
 |
153
Daiwf Feb 25, 2022
你仔细看下阿里云服务器上的日志,你就会发现很多端口都在被扫描呢。各种试账号密码什么的。我自用的阿里云密码设置的超级复杂。不然直接被字典了。
|
 |
154
OrangeSinglee Feb 25, 2022
来看一下大家怎么喷的
|
 |
156
heipipi OP 1
你们针对内网说事儿的,真的是跪的太多,站不起来了吧?什么时候一款 web 应用,只能用内网物理隔离的办法才能安全使用,居然还被认为是理所应当?还认为这毫无问题?我也是见识了!
|
 |
157
xinxin8816 Feb 25, 2022
太正常了,SSH 、3389 每天被黑的也不计其数,这是得辩证的看
|
 |
158
wjm2038 Feb 25, 2022 1
哦内网就跪的太多了,提前做好防范有啥问题么?安全使用内网只是其中一个比较快捷方便的方法而已,你要用别的也不是不行啊。为了安全作再多防范都是理所当然好吧
|
 |
159
Sezxy Feb 25, 2022 via Android
op 说的都对
|
 |
160
gps949 Feb 25, 2022
“只要我够健康、免疫系统棒棒的,裸奔 or 不戴 t 也无妨。”
以上是调侃。估计 OP 听不进去。 那么下面是正经话(估计 OP 也听不进去): 1 、世界上没有任何软件 /应用 /系统 /服务是 100%没问题的。别说 gitlab 这种算不上头部企业产品了,微软、谷歌、苹果、Oracle 、IBM 、Intel……的产品又如何,不也漏洞一大堆? 2 、都指望产品本身安全就够了的话,安全公司、企业内安全部门就都失业饿死好了。 3 、安全没有 100%,也不存在 silver bullet 。内网又如何、断网单机又如何?旁路攻击了解一下,社工了解一下。所以安全是系统性工程,且在安全程度和成本、便利性之间做权衡。 |
 |
161
wengych Feb 25, 2022 3
建议水深火热
|
 |
162
est Feb 25, 2022 1
不是我说 LZ 啊。你换一个小众的,被搞了阿里云都不会报警,代码也很难发现被改了。
安全措施是加防,选小众的是加闪避; 补漏洞是叠甲,选小众是叠迷彩 两者都很重要,但是 LZ 你偏执只看重一方面,就是自寻死路。 |
 |
163
weichengwu Feb 25, 2022 1
不会玩就别玩,老老实实用 U 盘拷贝代码,保证安全
|
 |
164
duke807 Feb 25, 2022 via Android
@privil VPN 麻煩啊,有幾個公司有安全團隊?我認為 99% 的公司都沒有
有的時候,某些 git 庫還要和第三方公司協作,要讓第三方公司也能方便訪問的 說 linux 也有漏洞的,我承認,但是常見的都是本地提權,不安裝亂七八糟的軟件,想從外部攻入 linux 系統,門都沒有 我不是搞安全的,我的服務器就 ssh 安裝了一個 sshguard ,平時登陸用證書,密碼登陸也有保留,非常複雜的密碼 然後是 apache 和 matrix 有直接對外,還經過了 cloudflare cdn ,網站服務器後台除了自己寫的 python cgi 腳本,其它都是靜態,不用複雜的框架 |
 |
165
ThirdFlame Feb 25, 2022
黑客使用 web 登录的,敢问 OP 账号、密码是黑客从 gitlab 买来的么?账号 密码的问题 不该问问贵公司自己的?
|
 |
166
musi Feb 25, 2022
抛开放不放内网不谈
阿里云都提醒你有漏洞了为啥不修(能被 WAF 扫出来的一般都能修复了) 你这像极了扁鹊与蔡恒公 要不下次你忽略医生的警告试试? |
 |
167
triangle111 Feb 25, 2022
自己有能力就开发,用别人的开源又喷别人不安全。六字真言了
|
 |
168
habrade Feb 25, 2022
看起来楼主和大部分人不在一个频道上。
大家目前不是想说 gitlab 没问题,而且从你描述来看,基本的措施都没做好,显得很不专业。 和一个小学生谈乌俄问题,就没有基础和必要。 |
 |
169
iyaozhen Feb 25, 2022
楼主这看待问题的思路和解决方案都一言难尽
这反而说明 web 安全任重道远 |
 |
170
devwolf Feb 25, 2022
@guaguaguaxia1 大兄弟,仙人指路一下,我也要看看
|
 |
171
camus Feb 25, 2022
1. WAF 都告警了还不放在心上,那着实有点心大,不管你执行的安全基线有多严格,只要人足够懒,任何安全事故都有可能发生。
2. gitlab 当然可以放公网,但是需要时刻关注是否有针对 gitlab 的安全漏洞和攻击,及时备份和升级 gitlab 版本。 3. 对于基础设施 /系统的安全补丁和升级是必须也必要的,不要迷信有些老法师所谓只要系统还能跑就不要打补丁 /升级。脱离主流安全更新的系统被攻击后遭受的损失远大于主动升级补丁带来的“阵痛”。( docker 打包了解一下) |
|
172
gps949 Feb 25, 2022
真暴躁,劝不动,祝以后不管用啥都被漏洞坑。
已 b |
|
173
duke807 Feb 25, 2022 via Android
補充一下,感覺 op 遇到的不是漏洞,而是自己弱密碼被猜到。
|
 |
174
LnTrx Feb 25, 2022
把服务放在封闭的内网是一种牺牲便捷性、比较偷懒的方法。但之所以这么多人推荐,正是因为其简单、有用,可以避免 IPv4 最普遍的暴力端口扫描等风险。
Gitlab 的设计初衷肯定是面向公网的。但既然面向公网,维护者就要做好相应的安全措施,而不是明知存在隐患还有侥幸心理。 权益和义务是对等的。开源免费的大型项目能及时修复无心之失的漏洞,对免费的使用者而言就已经尽到了义务。 选用小众的项目,安全性未必提升,可能反而下降。 |
 |
175
dolphintwo Feb 25, 2022
我就说有没有一种可能,I is fish
|
 |
176
HardStone Feb 25, 2022
👆"加入收藏"
|
 |
177
exploreexe Feb 25, 2022
就 LZ 这种安全意识,还是别用 gitlab 了,也别自建了,你们这安全意识还得被黑。
网友让你放内网和外网隔离怎么了?好心当了驴肝肺 |
 |
178
labulaka521 Feb 25, 2022 3
建议你和 @sam01101 凑成一对 简直俩奇葩 哈哈
|
 |
179
clf Feb 25, 2022
我司 gitlab-ee 一直公网可以访问,而且每天都会更新到最新版本。
哦对,ee 好像不是开源的,那没事了。 |
 |
180
newmlp Feb 25, 2022
送你俩字:傻逼
|
|
181
sampeng Feb 25, 2022 1
看了 op 的回复。。。完全在自己的世界里啊。。
所有人都在说 gitlab 就是有漏洞,怎么了?你找一个没漏洞的出来,一样有黑客攻击,彩虹表了解一下?旁路攻击了解一下? 反正 op 就是当没看到,就是觉得所有人都不如我,web 应用开源出来就要没有漏洞。我没有给 gitlab 钱,我没有安全团队,我无视任何安全警告,错的不是我,是 gitlab 。。 好心当驴肝肺。。。。 |
 |
182
Misaka11037 Feb 25, 2022 via iPhone
阿里云又不是没告诉你有漏洞,自己放外网不处理又不肯放内网反而怪 GitLab ,那还是建议自己手写一个到时候没处可赖
|
|
183
byte10 Feb 25, 2022 1
没想到 还在倔强, 我举个例子给你把,听完你就会变的乖了。
请问你家的保险箱放在你的房间还是你的客厅,还是你的门外?保险箱够安全了吧?请问哪个猪头会把保险箱放在门外的?为啥电视机可以放在客厅?无非是安全级别的和重要性的权衡。既然任何软件应用都会可能存在安全漏洞,为何不把重要的服务放在内网呢?你为何不把保险箱放在客厅呢?为啥不放在门外呢?不是有密码吗,用铁链锁住就可以了,你怕啥?大聪明怕啥?你鞋架为何可以放门外,还不是不值钱? 为啥 gitlab 要放内网?先不说它本身是否安全,即便它非常的安全,没有任何漏洞,那么它是否还能放在外面?你能确保 的开发 不会设置成弱命令吗?很多企业的内部网站都放在 vpn 内,就是这个最基本的原因,它是一个非常简单的常识。 少年,现在已经不是安全漏洞的问题,问题是这样做,就是一个菜运维,只有大聪明的运维才会这样把 gitlab 放公网的。你听明白了没,不要讨论啥安全漏洞了,没有意义了。 @390547784 nginx 都会有漏洞,你既然白嫖,就得承受它的风险。如果是商用的软件,你可以告他赔钱。但不能你用了它,又继续骂他不负责,它只有义务,没有责任。你要是商用,那么它就有责任。 @duke807 vpn 搭建很多教程的,docker 容器启动就可以了,从学习到使用半天搞定。不行就不行,烂就是烂,没有 vpn 不是借口,再或者防火墙挂几个 ip 白名单都是 1 分钟的事情。但是大聪明就是天生基因就是蠢,思维方式 极其低级,所以难搞哦。 @390547784 gitlab 有啥问题?它有义务,没有责任,因为是白嫖的。如果是商用的,那么它就有责任,它有责任告诉你,并且把升级方案告诉你。 @heipipi 白子画说的,对就是对,错就是错,我以前错了也认,你错了也要听话认了好吧。你再这样下去会很危险的,如果你某天觉悟之后,再回头看这个帖子就会社死的。当然很多人一辈子也不会开悟,我是希望你要开悟。gitlab 没有过错,你不能指望别人 100%给做出安全的软件应用,这么重要的应用服务,你要自己保护起来。 |
 |
184
ncepuzs Feb 25, 2022
「 github 账户被删事件」与「 gitlab 公网被黑事件」构成了今天的两大笑谈
|
|
185
dolphintwo Feb 25, 2022
一个知识越贫乏的人,越是拥有一种莫名奇怪的勇气和自豪感,因为知识越贫乏,你所相信的东西就越绝对,你根本没有听过与此相对立的观点。——罗翔
|
|
186
sampeng Feb 25, 2022
在啰嗦一句。。可能有其他人看到。
内网服务不要扔到外网来。不要图方便。除非你公司有专业的安全团队,专业的运维团队。有人专门盯着是不是被黑了,是不是有漏洞,不需要升级等等。如果这些都没有。vpn 或者 ip 白名单是最没负担,也是最简单的安全措施。 没有几家公司会去审核开源产品代码的,你用什么都是死。毁灭吧。赶紧的 |
 |
187
zhaol Feb 25, 2022
有没有一种可能就是,gitlab 本身确实没问题,而是你们自建的服务 admin 账户被别人黑了?
|
 |
188
weixd96 Feb 25, 2022
在逃公主?
|
 |
189
lonelymarried Feb 25, 2022
叫我怎么黑
|
 |
190
hez2010 Feb 25, 2022 via Android
试试 Azure DevOps Server:
https://azure.microsoft.com/en-us/services/devops/server/ |
 |
191
crab Feb 25, 2022
建议搜索下 0day
|
 |
192
issaclam Feb 25, 2022
`公司要求弃用`
说明决策层和 OP 的想法是一致的。 OP 的诉求应该是:我们没有运维 + 免费 + 黑客永远不知道的小众仓管 = 一劳永逸。 希望各位不要不识抬举,只要方案,不要 BB 。 |
|
193
duke807 Feb 25, 2022 via Android
@byte10
和第三方甲方爸爸協作開發,你也讓對方安裝 VPN ? 給對方 ip 白名單?對方要移動辦公呢? 我服務器最頂級保密的數據,是通過 aes256 加密的,ssh-fs 掛載到我本地,on-the-fly 解密到本地目錄 你應該是做安全方面的吧?把安全說這麼嚴重可以理解,畢竟是利益相關 |
 |
194
zhw2590582 Feb 25, 2022
楼主你可以接受大家的善意的建议,大家也会乐意给你出谋划策,但你偏偏选择了气急败坏...
|
 |
195
mmrx Feb 25, 2022
好秀啊
|
 |
196
ryh Feb 25, 2022
没有漏洞的多半是 c 版本的 hello world 😂
我上次遇到 gitlab 被坑是乙方把代码穿到 git 服务器上,结果是公网都能访问 repo 。 并且他们把支付宝的 rsa 私钥都给放在 repo 里,wtf ? 我说这个事就是想说使用开源第三方软件怎么配置是你自己的事,有 bug 就更新或者自己补然后 pr 。 有 bug 很正常,但不会用还要怪别人就是莫名其妙了。 |
 |
197
fanchenio Feb 25, 2022
照你这么说 windows 、macOS 、linux 也都别用了,他们也会有安全漏洞,而且现在一直都有,也一直在修补。
你也是程序员那么你应该知道这世上没有绝对安全的系统 /软件吧?只有相对安全的,比如你在外面加了各种安全组件来保护你的系统 /软件,就算这也算不上绝对安全。 |
 |
198
mns Feb 25, 2022 via Android
哈哈哈
|
 |
199
bearqq Feb 25, 2022 2
长话短说,建议转行+1
|
 |
200
f165af34d4830eeb Feb 25, 2022
怎么看都像是钓鱼的
|
Select Language