思细级恐啊，我们自己搭的 gitlab 的都被黑了！

我一直都认为这个世界上很多不懂运维的人的，楼主被喷真的是没有被冤枉的。连 windows 都有漏掉啊，macos 都有漏洞的，nginx 也有漏洞，虽然漏洞的本身有大有小。既然都提示有漏洞还不处理更新下。还有很多大聪明，比如把 jumpserver 放到公网的，git 仓库算是非常重要的吧，居然有人放公网（大猪投会解释，我有 https 啊，连最基本的本质问题没搞明白），还有 maven 私库 也有很多人放公网，这样的大聪明非常的多。现实中我都是直接邮件过去，提示安全隐患，但是很多大聪明知识和认知都无法理解。所以科普知识非常的重要，需要大家传递。

再给一个例子，spring cloud config 曾经暴露过一个高危漏洞，大概就是可以通过请求 访问到服务上任何路径的文件。大聪明会这样想的，配置中心都是内网的啊，没啥担心的啊。这意味着，任何进入正式环境的内网的人都可以访问到这个服务，而进入内网的权限相对比较小，比如很多普通的研发都可以进入正式环境的内网访问，这样就会产生安全问题了，但是很多人不把这些权限边界处理好。

希望楼主能改过自新，多多了解下 -问题的本质，事情的本质，很多事情其实非常的简单。

不得不再一次感叹，程序员之间的差距实在是大，大到“程序员”这个名词已经没啥代表的含义了，不管是技术还是收入。

如何在地球爆炸时，保证你的服务还能正常运行 (*￣︶￣)

1. 把内部服务开放的公网上，并非不可。前提是能保证及时升级，及时打补丁，有安全团队能及时对 0day 做出应对
2. 对于一个应用，做到上述也许不难。假设有 100 个内部服务，全部都暴露到公网上，每个应用都要及时升级打补丁，那就非常困难了
3. 所以为啥要用 VPN 组内网？只要把控好 VPN 安全，就能抵御绝大多数攻击了

gitlab 替代品当然有很多，比如 GitHub Enterprise 私有部署。愿意花钱啥都有
“最好也是开源免费的，功能不用太多，够用就行“ 楼上提了很多非商业的开源项目，只要愿意忍受比 gitlab 更多的漏洞，那么随便使用。

linux 名气也很大，也有漏洞，那你换系统吧

另外，相比安全知识和运维知识，楼主更需要的是这个
https://github.com/ryanhanwu/How-To-Ask-Questions-The-Smart-Way/blob/main/README-zh_CN.md

@superchijinpeng 因为放在 Gitlab.com 不容易被黑啊！

"本身漏洞百出也是理所应当？" 还真是理所应当，至少人家有漏洞也没义务向你负责，你自己不修只能怪你自己，看你原文里说的“最好也是开源免费的”，我想你大概没有向 gitlab 公司交钱吧？

那楼主要不要看下 GitLab 开源版本所使用的 MIT 协议是怎么说的

The Software is provided “as is”, without warranty of any kind, express or implied, including but not limited to the warranties of merchantability, fitness for a particular purpose and noninfringement. In no event shall the authors or copyright holders be liable for any claim, damages or other liability, whether in an action of contract, tort or otherwise, arising from, out of or in connection with the software or the use or other dealings in the Software.

本软件是按原样提供的，没有任何形式的明示或暗示的保证，包括但不限于对适销性、特定用途的适用性和不侵权的保证。在任何情况下，作者或版权持有人都不对任何索赔、损害或其他责任负责，无论这些追责来自合同、侵权或其它行为中，还是产生于、源于或有关于本软件以及本软件的使用或其它处置。

贵司需要更专业更懂安全的运维……如果楼主是开发的话，就老老实实当 dev 吧，别揽 DevOps 的活了。

『抛开事实不谈，Gitlab 就一点问题没有吗』
『哪怕我司运维占 99.999%的责任，你们 Gitlab 就不用承担那 0.001% 的锅吗』

我觉得放公网无可厚非啊，本来就是可能的选择，要到出问题了才说不能放公网？这是什么道理？

就像你做一个功能，结果客户非要以一种奇怪的姿势去使用然后出错了，这本身就是可能发生的事。

不应该关注这个漏洞是怎么来的？怎么去解决？怎么去做好安全工作的吗？为啥在这一个劲的喷，说不让放公网就解决问题了？这不是掩耳盗铃？

1. 一款 web 应用，不能放在互联网，你们居然觉得理所应当？居然不觉得自相矛盾？
不是不能放互联网，而是既然你放在了互联网，你就要应该知道放互联网的风险。
2. gitlab 放在公开 web 上被黑了，你们一股脑都说是我的网络环境问题，gitlab 就毫无问题？ gitlab 本身漏洞百出也是理所应当？
所有东西都有漏洞，是你在使用的时候产生了混淆：Gitlab.com 一直没问题 != 我用私有部署的 Gitlab 上互联网也没问题
3. gitlab 官方也没说过必须放在内网才能用？你们在这自以为是什么东西？
我觉得大家已经给出足够多善意的建议了，只是在楼主在描述完贵司自认为的事实，认为己方全然无责后被喷，面子总会有点过不去…
4. 如果 gitlab 本身足够安全，放公网又如何？
还是那句话，所有东西都有漏洞。gitlab.com 的服务能面对公网，后面做了多少安全设施加固呢？
产品的安全是一时的，需要不断升级的安全策略和安全应对才是永恒的。

@ltkun #35 这确实，换做 Linux 也会存在漏洞，全扔了自己做。和楼主一样，平台提示有漏洞不当一回事，出了问题就开始抱怨要换别的开源软件，同理只要开源存在一定用户量的甚至没用户都一样会有研究漏洞的人。
最根本的原因是没有及时依照官方推送处理而已。

5. 还有些人张口就说我没升级，请问您知道我用的版本？您是会算还是会猜？
敢不敢直接说一下你用的什么版本，看看我们冤枉你没？

楼主言论太傻逼了，只能说活该，不值得同情

没出钱还要喷人家，找个付费服务再去喷吧，，，，开源的东西本来就需要及时关注更新以及漏洞补丁等问题

发现回复里全是逆行的，只有楼主走在正确的方向上
是这世界错了

@ncepuzs 「 5. 还有些人张口就说我没升级，请问您知道我用的版本？您是会算还是会猜？」楼主的嘴巴，硬就完事了，我看也是想笑。

2. gitlab 放在公开 web 上被黑了，你们一股脑都说是我的网络环境问题，gitlab 就毫无问题？ gitlab 本身漏洞百出也是理所应当？
抛开事情对错不谈，难道 gitlab 就没有一点点问题吗 [doge]

> 思细级恐?
字都打不对吗
> 我们自己搭的 gitlab 的都被黑了！
我以为是和昨天 GitHub 被封号那个帖子差不多，被 gitlab 后门搞了。

看了你的内容，我也直呼“绝绝子”，特别是那句：gitlab 因为名气太大，已经被黑客研究透了，所以其实很不安全
那就别用 linux,windows 等操作系统了呗。

再看你的附言，笑死了，就像是被人喷的破防了，面子挂不住了

1. 是个软件都可能有安全漏洞，内网肯定比公网安全点，gitlab 官方怎么说是他们的事，你可以以更安全的方式去使用。
2. 阿里云明确提示你有问题了，你不理，后果你是需要承担的
3. gitlab 的替代品不多，因为名气不够大社区关注少可能还不如 gitlab 安全，没发现不代表没有
4. gitlab 更新可能解决漏洞也可能引入新漏洞，各位用这个喷楼主我觉得不合适

所以不如多想想怎么安全使用 gitlab ，如服务器搭在公司内网、vpc ip 白名单、vpn 等。

建议楼主付费使用 github 。

建议转行

被黑大部分都是弱密码，注意下配置

交给专业的运维来，Web 服务不是启动能用就行的。

运维和安全也是专业性很强的工种，有自己的知识体系和技能要求。会做开发、做职能管理的人并不是自然而然凭直觉就会做运维和安全的。

放公网心真大...

代码 review 可以考虑用 Gerrit ，Google 用来管理 Android 代码的，也是放在公网上的。
当然还是不建议随便 ip 都能访问，如果没有几个专业的安全和运维的话。

Gitlab 不同版本是有各种漏洞，需要投入人力去维护，团队技术支持力度不够的话，自建自管理风险真还挺高的。。。
国内的话如果已经在使用阿里云，可以考虑下阿里提供的企业代码托管服务 Codeup ，也是免费的，或者其他比如腾讯的服务，至少有人给兜底。

有哪个程序能 100%保证自己没有漏洞？还附言怼天怼地的。
阿里云提醒你有漏洞那么就及时修补，到头来就怪别人程序不行，实属 low.

如果仅仅只是代码库管理功能还是很多选择的，推荐 Gogs

兄弟你在推特火了，没啥就是跟你说下

> gitlab 官方也没说过必须放在内网才能用？你们在这自以为是什么东西

这是几百上千家互联网大厂的安全结论 小公司来问你们在这自以为是什么东西???????

哎，我们做安全服务的，尤其做小型国企项目的时候，经常碰到甲方完全不能理解我们的工作。
做技术评估的时候，反反复复警告 weblogic 需要更新，反序列化是红队最常利用的漏洞之一。
等到重保给日了个穿，又开始质疑我们的评估专业性有问题。
那些看起来高大上的业务，请的都是外包的牛鬼蛇神，不懂行又不愿意干活。帮他们修个漏洞都要求爷爷告奶奶。
如果我不是做信息安全的，真的希望有黑产能来暴打 sb 厂商。

基本的运维常识和安全策略都不知道....

zero trust 了解一下。上了这个风险大大降低

@guaguaguaxia1 关键字？想去围观下

@Huelse 放公网不是问题，但是如果要放公网上就要做好运维和安全加固。 如果没有精力和资源做的话那当然还是不要放公网。

看了楼主的附言和所有评论, 只有两字配得上楼主: 活该

@pusheax 甲方表示有苦说不出，做业务系统开发的那些地方性、行业性的供应商，除了被甲方锤着勉强把业务功能凑合实现之外，其它真的是什么都不懂……还一个个拽得。

笑死我了 你赶快换人家的系统吧, 然后你再发个为什么换了小众的还是被黑了

> 楼主的言论真的让人感觉像在撒泼。

我弟弟天天去免费球场打球，球场保安贴出告示提醒我弟弟，最近篮球场地面有点滑，最好做好打球必备措施或者穿防滑鞋，我弟弟没在意，还是穿着板鞋和赤膊去打球，打球的时候滑倒了摔骨折了，家人不让我弟弟打球了，我弟弟说：“都怪这个球场没有做好防滑处理，如果这个球场不滑，我怎么会摔骨折。”
别人说，弟弟为什么不穿防滑鞋或者护具，我弟弟说：“虽然我不穿，但球场一点问题都没有么？”
球场 -->免费的 保安 --> 提醒了 我弟弟还是我行我素。
(ಡωಡ)

自建的 gitlab ，可以先设置阿里云 ip 白名单

@adoal
这个太有同感了。系统是第三方的，我们报告里都是给缓解措施，做访问控制之类的。除开甲方财大气粗有话语权，不太可能要求供应商开发补丁。
而且就是现在的开发外包、运维外包啊，一言难尽。为了压低成本，应届生都往高级职位那送。尤其是碰到喜欢甩锅的外包运维，气的我睡不着觉。

樓主哪家公司的，快說一下。

技術能力差的感人還不自知，發帖找罵的典型。

一個軟體存在不可能沒有漏洞，軟體不可能沒有漏洞，都是人寫出來的。那按 po 主的邏輯，為啥國內這麼多大公司用 GitLab ，就你家被黑？人家幾家公司自己搭建商業運營的 GitLab 為啥沒事。

applend 笑死，数据没了，怪我们喽？

還有一個事情，那按照樓主的邏輯：

上网搜了一下才知道，windows/mac/linux 因为名气太大，已经被黑客研究透了，所以其实很不安全。公司今天已经要求弃用了。

那建議您立即斷網。

有告警=>觉得没事=>被黑=>gitlab 就是个垃圾，居然有漏洞=>请教 v 友有有什么替代品。。。

你公司需要把负责人换了。能做出这样判断的。。。真的没谁了。。

不要抬杠，内部系统在内部网络是常识，常识的意思就是不需要说，大家都知道怎么做。公开在外网的除了云服务以外，都默认不安全有被黑风险。

被黑不一定是靠漏洞，你都说了是 web 端登陆的，就你们这个安全意识，盲猜没开二次认证，有人弱密码被彩虹表了

但凡你加一个 ip 白名单都没事。两分钟的事。

过来看笑话

正确的思路是加强安全防范，无论是 gitlab 还是什么其他的替代品，漏洞都是不可避免的，但是安全措施是可以有效的防范攻击的，比如对 gitlab 所在的服务器做加固，以及强制特定的 ip/vpn 才能访问代码等等。

@Psily1017 #143 你这个例子不合适, 因为按照中国法律的判罚和中国按闹分配的特性, 球场的确是会赔钱的, 换成地球为什么会有引力就没问题了

你仔细看下阿里云服务器上的日志，你就会发现很多端口都在被扫描呢。各种试账号密码什么的。我自用的阿里云密码设置的超级复杂。不然直接被字典了。

来看一下大家怎么喷的

@heipipi 好奇到底被提交了什么样的恶意代码？方便公开下恶意代码，让我们一起来谴责黑客吗？

你们针对内网说事儿的，真的是跪的太多，站不起来了吧？什么时候一款 web 应用，只能用内网物理隔离的办法才能安全使用，居然还被认为是理所应当？还认为这毫无问题？我也是见识了！

太正常了，SSH 、3389 每天被黑的也不计其数，这是得辩证的看

哦内网就跪的太多了，提前做好防范有啥问题么？安全使用内网只是其中一个比较快捷方便的方法而已，你要用别的也不是不行啊。为了安全作再多防范都是理所当然好吧

op 说的都对

“只要我够健康、免疫系统棒棒的，裸奔 or 不戴 t 也无妨。”
以上是调侃。估计 OP 听不进去。

那么下面是正经话（估计 OP 也听不进去）：
1 、世界上没有任何软件 /应用 /系统 /服务是 100%没问题的。别说 gitlab 这种算不上头部企业产品了，微软、谷歌、苹果、Oracle 、IBM 、Intel……的产品又如何，不也漏洞一大堆？
2 、都指望产品本身安全就够了的话，安全公司、企业内安全部门就都失业饿死好了。
3 、安全没有 100%，也不存在 silver bullet 。内网又如何、断网单机又如何？旁路攻击了解一下，社工了解一下。所以安全是系统性工程，且在安全程度和成本、便利性之间做权衡。

建议水深火热

不是我说 LZ 啊。你换一个小众的，被搞了阿里云都不会报警，代码也很难发现被改了。

安全措施是加防，选小众的是加闪避；

补漏洞是叠甲，选小众是叠迷彩

两者都很重要，但是 LZ 你偏执只看重一方面，就是自寻死路。

不会玩就别玩，老老实实用 U 盘拷贝代码，保证安全

@privil VPN 麻煩啊，有幾個公司有安全團隊？我認為 99% 的公司都沒有

有的時候，某些 git 庫還要和第三方公司協作，要讓第三方公司也能方便訪問的

說 linux 也有漏洞的，我承認，但是常見的都是本地提權，不安裝亂七八糟的軟件，想從外部攻入 linux 系統，門都沒有

我不是搞安全的，我的服務器就 ssh 安裝了一個 sshguard ，平時登陸用證書，密碼登陸也有保留，非常複雜的密碼

然後是 apache 和 matrix 有直接對外，還經過了 cloudflare cdn ，網站服務器後台除了自己寫的 python cgi 腳本，其它都是靜態，不用複雜的框架

黑客使用 web 登录的，敢问 OP 账号、密码是黑客从 gitlab 买来的么？账号 密码的问题 不该问问贵公司自己的？

抛开放不放内网不谈
阿里云都提醒你有漏洞了为啥不修(能被 WAF 扫出来的一般都能修复了)
你这像极了扁鹊与蔡恒公
要不下次你忽略医生的警告试试？

自己有能力就开发，用别人的开源又喷别人不安全。六字真言了

看起来楼主和大部分人不在一个频道上。
大家目前不是想说 gitlab 没问题，而且从你描述来看，基本的措施都没做好，显得很不专业。
和一个小学生谈乌俄问题，就没有基础和必要。

楼主这看待问题的思路和解决方案都一言难尽

这反而说明 web 安全任重道远

@guaguaguaxia1 大兄弟，仙人指路一下，我也要看看

1. WAF 都告警了还不放在心上，那着实有点心大，不管你执行的安全基线有多严格，只要人足够懒，任何安全事故都有可能发生。
2. gitlab 当然可以放公网，但是需要时刻关注是否有针对 gitlab 的安全漏洞和攻击，及时备份和升级 gitlab 版本。

3. 对于基础设施 /系统的安全补丁和升级是必须也必要的，不要迷信有些老法师所谓只要系统还能跑就不要打补丁 /升级。脱离主流安全更新的系统被攻击后遭受的损失远大于主动升级补丁带来的“阵痛”。（ docker 打包了解一下）

真暴躁，劝不动，祝以后不管用啥都被漏洞坑。
已 b

補充一下，感覺 op 遇到的不是漏洞，而是自己弱密碼被猜到。

把服务放在封闭的内网是一种牺牲便捷性、比较偷懒的方法。但之所以这么多人推荐，正是因为其简单、有用，可以避免 IPv4 最普遍的暴力端口扫描等风险。
Gitlab 的设计初衷肯定是面向公网的。但既然面向公网，维护者就要做好相应的安全措施，而不是明知存在隐患还有侥幸心理。
权益和义务是对等的。开源免费的大型项目能及时修复无心之失的漏洞，对免费的使用者而言就已经尽到了义务。
选用小众的项目，安全性未必提升，可能反而下降。

我就说有没有一种可能，I is fish

👆"加入收藏"

就 LZ 这种安全意识，还是别用 gitlab 了，也别自建了，你们这安全意识还得被黑。
网友让你放内网和外网隔离怎么了？好心当了驴肝肺

建议你和 @sam01101 凑成一对 简直俩奇葩 哈哈

我司 gitlab-ee 一直公网可以访问，而且每天都会更新到最新版本。

哦对，ee 好像不是开源的，那没事了。

送你俩字：傻逼

看了 op 的回复。。。完全在自己的世界里啊。。

所有人都在说 gitlab 就是有漏洞，怎么了？你找一个没漏洞的出来，一样有黑客攻击，彩虹表了解一下？旁路攻击了解一下？

反正 op 就是当没看到，就是觉得所有人都不如我，web 应用开源出来就要没有漏洞。我没有给 gitlab 钱，我没有安全团队，我无视任何安全警告，错的不是我，是 gitlab 。。

好心当驴肝肺。。。。

阿里云又不是没告诉你有漏洞，自己放外网不处理又不肯放内网反而怪 GitLab ，那还是建议自己手写一个到时候没处可赖

没想到 还在倔强， 我举个例子给你把，听完你就会变的乖了。

请问你家的保险箱放在你的房间还是你的客厅，还是你的门外？保险箱够安全了吧？请问哪个猪头会把保险箱放在门外的？为啥电视机可以放在客厅？无非是安全级别的和重要性的权衡。既然任何软件应用都会可能存在安全漏洞，为何不把重要的服务放在内网呢？你为何不把保险箱放在客厅呢？为啥不放在门外呢？不是有密码吗，用铁链锁住就可以了，你怕啥？大聪明怕啥？你鞋架为何可以放门外，还不是不值钱？

为啥 gitlab 要放内网？先不说它本身是否安全，即便它非常的安全，没有任何漏洞，那么它是否还能放在外面？你能确保 的开发 不会设置成弱命令吗？很多企业的内部网站都放在 vpn 内，就是这个最基本的原因，它是一个非常简单的常识。

少年，现在已经不是安全漏洞的问题，问题是这样做，就是一个菜运维，只有大聪明的运维才会这样把 gitlab 放公网的。你听明白了没，不要讨论啥安全漏洞了，没有意义了。

@390547784 nginx 都会有漏洞，你既然白嫖，就得承受它的风险。如果是商用的软件，你可以告他赔钱。但不能你用了它，又继续骂他不负责，它只有义务，没有责任。你要是商用，那么它就有责任。
@duke807 vpn 搭建很多教程的，docker 容器启动就可以了，从学习到使用半天搞定。不行就不行，烂就是烂，没有 vpn 不是借口，再或者防火墙挂几个 ip 白名单都是 1 分钟的事情。但是大聪明就是天生基因就是蠢，思维方式 极其低级，所以难搞哦。
@390547784 gitlab 有啥问题？它有义务，没有责任，因为是白嫖的。如果是商用的，那么它就有责任，它有责任告诉你，并且把升级方案告诉你。

@heipipi 白子画说的，对就是对，错就是错，我以前错了也认，你错了也要听话认了好吧。你再这样下去会很危险的，如果你某天觉悟之后，再回头看这个帖子就会社死的。当然很多人一辈子也不会开悟，我是希望你要开悟。gitlab 没有过错，你不能指望别人 100%给做出安全的软件应用，这么重要的应用服务，你要自己保护起来。

「 github 账户被删事件」与「 gitlab 公网被黑事件」构成了今天的两大笑谈

一个知识越贫乏的人，越是拥有一种莫名奇怪的勇气和自豪感，因为知识越贫乏，你所相信的东西就越绝对，你根本没有听过与此相对立的观点。——罗翔

在啰嗦一句。。可能有其他人看到。
内网服务不要扔到外网来。不要图方便。除非你公司有专业的安全团队，专业的运维团队。有人专门盯着是不是被黑了，是不是有漏洞，不需要升级等等。如果这些都没有。vpn 或者 ip 白名单是最没负担，也是最简单的安全措施。


没有几家公司会去审核开源产品代码的，你用什么都是死。毁灭吧。赶紧的

有没有一种可能就是，gitlab 本身确实没问题，而是你们自建的服务 admin 账户被别人黑了？

在逃公主？

叫我怎么黑

试试 Azure DevOps Server：
https://azure.microsoft.com/en-us/services/devops/server/

建议搜索下 0day

`公司要求弃用`
说明决策层和 OP 的想法是一致的。
OP 的诉求应该是：我们没有运维 + 免费 + 黑客永远不知道的小众仓管 = 一劳永逸。
希望各位不要不识抬举，只要方案，不要 BB 。

@byte10
和第三方甲方爸爸協作開發，你也讓對方安裝 VPN ？
給對方 ip 白名單？對方要移動辦公呢？

我服務器最頂級保密的數據，是通過 aes256 加密的，ssh-fs 掛載到我本地，on-the-fly 解密到本地目錄

你應該是做安全方面的吧？把安全說這麼嚴重可以理解，畢竟是利益相關

楼主你可以接受大家的善意的建议，大家也会乐意给你出谋划策，但你偏偏选择了气急败坏...

好秀啊

没有漏洞的多半是 c 版本的 hello world 😂

我上次遇到 gitlab 被坑是乙方把代码穿到 git 服务器上，结果是公网都能访问 repo 。
并且他们把支付宝的 rsa 私钥都给放在 repo 里，wtf ？

我说这个事就是想说使用开源第三方软件怎么配置是你自己的事，有 bug 就更新或者自己补然后 pr 。
有 bug 很正常，但不会用还要怪别人就是莫名其妙了。

照你这么说 windows 、macOS 、linux 也都别用了，他们也会有安全漏洞，而且现在一直都有，也一直在修补。

你也是程序员那么你应该知道这世上没有绝对安全的系统 /软件吧？只有相对安全的，比如你在外面加了各种安全组件来保护你的系统 /软件，就算这也算不上绝对安全。

哈哈哈

长话短说，建议转行+1

怎么看都像是钓鱼的