这是一个创建于 788 天前的主题,其中的信息可能已经有所发展或是发生改变。
情况是这样的,我们公司一直用 gitlab ,搭建在阿里云服务器上,作为公司内部开发代码仓库。但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题。
直到今天上午,我们发现在提交代码的时候冲突,就觉得奇怪,然后就上 gitlab 看了一眼,发现被人从 gitlab 的 web 端登录,并将恶意代码提交到了我们的仓库中。。。
顿时吓出一身冷汗啊!绝绝子!
上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。
各位老哥,请问有没有能替代 gitlab 的项目,最好也是开源免费的,功能不用太多,够用就行,名气最好别太大。我们已经不敢再用 gitlab 了。
第 1 条附言 · 2022-02-25 10:54:46 +08:00
一堆人还跟我抗。我就想问一下:
1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾?
2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当?
3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西?
4. 如果 gitlab 本身足够安全,放公网又如何?
1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾?
2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当?
3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西?
4. 如果 gitlab 本身足够安全,放公网又如何?
第 2 条附言 · 2022-02-25 10:58:03 +08:00
5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?
第 3 条附言 · 2022-02-25 15:52:23 +08:00
你们针对内网说事儿的,真的是跪的太多,站不起来了吧?什么时候一款 web 应用,只能用内网物理隔离的办法才能安全使用,居然还被认为是理所应当?还认为这毫无问题?我也是见识了!
第 4 条附言 · 2022-02-25 16:09:13 +08:00
有些人完全避而不谈 gitlab 本身的安全漏洞,反而告诉我应该用最粗暴最简单的的内网物理隔离才能用使用。如果 web 应用程序都做成这样,那请问还要 web 安全何用?
 |
201
f165af34d4830eeb 2022-02-25 19:45:16 +08:00
 |
 |
202
eason1874 2022-02-25 19:45:26 +08:00  1
@heipipi #156
把 GitLab 暴露到公网:需要实时关注操作系统和 GitLab 的漏洞并及时打补丁,被黑客抢先一步就会被黑。如果其他内部应用比如 BBS 、WIKI 也暴露到公网,那工作量成倍增长,风险也成倍增长 内网隔离通过 VPN 访问:只需要关注跳板机操作系统和 VPN 软件的漏洞,无论内部多少个 GitLab 、BBS 、WIKI 都不会增加额外的工作量和额外的风险,你也不需要跟黑客抢时间打补丁 而你们的做法是:暴露到公网但又不积极关注和修复漏洞,既要方便又要安全,哪有这种好事? “5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?” 我可以 100%确定你没有及时升级,因为阿里云的漏洞提示是滞后的,你们收到阿里云这么多提示,就足以说明你们比阿里云还要慢 |
 |
203
WispZhan 2022-02-25 19:50:04 +08:00 via Android
今日份的快乐 +1
|
 |
204
Lentin 2022-02-25 19:51:48 +08:00 via iPhone
楼主不会是 PM 职位吧?是搞技术开发的吗?
|
 |
205
darknoll 2022-02-25 19:57:51 +08:00
既然部署到公网了,为何不直接用 gitee?
|
 |
206
jessun1990 2022-02-25 20:13:39 +08:00
这个世界上没有『绝对安全的系统』,因此,我还是赞成公司产品源代码采用内网部署。
最好还是物理上与公网隔离。 |
 |
207
YaakovZiv 2022-02-25 20:28:18 +08:00
看了楼主的描述,感到有些疑惑,代码同步到 gitlab 所在服务器,并在该服务器发布服务,那得挺多安全手段才能处理。
如果是仅代码同步到 gitlab ,最省事就是阿里云的防火墙策略添加提交代码的机器的 IP ,代码提交结束就停用 IP 放行。 |
 |
208
BigDogWang 2022-02-25 20:30:06 +08:00 2
楼主太可爱了,帖子里杠精太多了,楼主加油!🐶
|
 |
209
deplivesb 2022-02-25 20:59:21 +08:00
有一说一就 「但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题」 OP 还好意思 append 解释。也不知道 OP 自以为是是个什么东西呢
|
|
210
deplivesb 2022-02-25 21:01:19 +08:00
10 个小时前你说「 5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?」
你现在敢不敢截图看你现在 gitlab 版本和启动时长 |
 |
211
zhattty 2022-02-25 21:18:56 +08:00
美国队长的盾牌在楼主的嘴面前也要甘拜下风
|
 |
212
wanguorui123 2022-02-25 22:13:21 +08:00
幸存者偏差
|
 |
213
lupus721 2022-02-25 23:26:37 +08:00
当能看到拦截信息的时候很可能已经晚了,因为真正厉害的攻击,防御是看不到的。
有漏洞立刻就打补丁,配置好各种防护策略,证书,acl 能上的都上了,也只能保证你被黑的可能降到最低,永无没有人能给你 100%的包票。 代码类的东西确实放在内网更安全一丢丢。 |
 |
214
GeruzoniAnsasu 2022-02-25 23:38:00 +08:00
看到 OP append 的这些言论
我一下就想到了「我穿得少就活该被强奸?」 有些人吧,你让他「注意安全,晚上别单独出门」 他给你来一句「明明是社会有问题凭什么要我自己注意」 此处应有《啊对对对》: https://www.bilibili.com/video/BV1f44y1v77g |
 |
215
calmzhu 2022-02-25 23:58:46 +08:00 1
用记事本吧,git 配不上你们
|
 |
216
iseki 2022-02-26 02:22:22 +08:00
Gitlab 有说过这个软件零运维部署是可以的吗
|
 |
217
ZRS 2022-02-26 02:46:55 +08:00 via iPhone
嘴比那啥硬
|
 |
218
xiadong1994 2022-02-26 03:58:23 +08:00
@ryh #196 C 版本的 Hello world 要经过 gcc/clang 编译,链接 glibc ( linux )和 call syscall ,一样会引入漏洞。
|
 |
219
Y29tL2gwd2Fy 2022-02-26 06:27:33 +08:00 via Android
现在没脑子的人也能做工程师了?
什么时候这个行业变成这样了? |
 |
220
Perry 2022-02-26 06:40:50 +08:00
楼主不仅仅对网络安全了解甚少,还非常喜欢推卸责任。自己用开源产品被黑了,就一定只能怪开源产品安全没做好。
|
 |
221
vanton 2022-02-26 08:40:25 +08:00 1
看说话的语气,毫无逻辑的叙事风格,完全没有一点自省的态度,看来 OP 不是搞技术的。
至少是不适合搞技术的。 发现问题,解决问题,然后规避问题才是正确的做法。 自己的问题还到处怼人,你当你是小仙女么? |
 |
222
luhe 2022-02-26 09:52:46 +08:00 via iPhone
叹为观止
|
 |
223
python35 2022-02-26 10:04:34 +08:00
1.不想自己运维的话 不是应该买现成的服务吗 例如 Github 企业版
2.白嫖还嫌弃人家开源的产品不完美 这个不是要饭的还嫌饭馊了么 |
 |
224
dcsuibian 2022-02-26 10:11:53 +08:00
都这么久了,能不能把公司说一下啊,好让我绕着走
|
 |
225
lunny 2022-02-26 10:56:35 +08:00
建议用 Gitea
|
 |
226
Kinnice 2022-02-26 11:20:15 +08:00 via Android
把重要的服务暴露到公网,又不注重该软件的安全动态(waf 都主动告警了,都不带修复的),运维也没有。
今天是 gitlab 名气太大被黑客研究透了,不安全 明天就是 gitxxx 名气太小,几年没更新,漏洞满天飞,随便就被入侵了。 |
|
227
Kinnice 2022-02-26 11:24:28 +08:00 via Android 1
有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?
如果你是最新版本,且按照正确的步骤进行配置,那大概率是个 0day ,这个漏洞的价值可能够买辆车了。 |
 |
228
dominickkorey 2022-02-26 13:18:02 +08:00
我一直以为在这个行业里不管干什么都需要过硬的本领和技术才能走得更远,每天都在因为技术学的不精不全难过,每天都在补课,结果看到这个 OP 我才发现原来技术和知识都不重要,只要有嘴,嘴硬就行[doge]
|
 |
229
Xhack 2022-02-26 13:28:59 +08:00
可惜了没有删除帖子的功能,OP 找地缝都找不到,哈哈
|
 |
230
ManjusakaL 2022-02-26 14:42:54 +08:00 via iPhone
> 最好也是开源免费的,功能不用太多
建议离职换行业,开源的也会有一堆漏洞。要是遇到 Log4J 这样的,怕是你们要把人作者给扬了 |
 |
231
muzuiget 2022-02-26 15:24:48 +08:00
楼主就是来装找认同, 你们竟然不捧场。
|
 |
232
Chieh 2022-02-26 16:20:54 +08:00
手贱点进来血压又高了
|
 |
233
kkbblzq 2022-02-26 17:02:06 +08:00
要开源,要免费,要安全,不能有漏洞,我被黑的一定是开源项目的问题,都是它垃圾才害我被黑的。手动狗头。
|
 |
234
ewBuyVmLZMZE 2022-02-27 04:31:25 +08:00
几乎所有的开源软件的 License 里面,都是有免责声明的,换言之,你用它遇到的问题,怪不到它头上。
|
 |
235
ilolita 2022-02-27 17:47:17 +08:00 via iPhone
搞笑的楼主
|
 |
236
tutugreen 2022-02-27 21:56:02 +08:00
这种是不是钓鱼的?
|
 |
237
xiaopigfly 2022-02-28 10:19:38 +08:00
1. 但凡有点常识都知道这种代码仓库最好部署在内网
2. 放在公网也不禁止自助注册 3. 阿里云都提示你有漏洞 你 tm 也不看 活该了 4. 说你没有升级版本也确实,我敢百分百肯定你使用的是有 RCE 的版本漏洞 5. 每款产品都会有人研究和出现漏洞 哪怕你今天换了 gitlab 另一款产品也照样有风险 |
 |
238
rejectall 2022-02-28 15:29:28 +08:00
看完了总结一下,建议转行+1
|
 |
239
N1ckl32 2022-03-01 19:21:27 +08:00
是个“抗”精,已确认。
|
 |
240
gzxworknb 2022-03-02 14:33:31 +08:00
人傻不能怪社会..
|
 |
241
allengu2pgyer 2022-03-09 10:50:19 +08:00
@heipipi 建议题主尝试使用我司已开源的私有化部署 git 仓库——codefever ,官网: https://codefever.pgyer.com ,项目地址: https://github.com/PGYER/codefever 。
gitlab 确实被很多黑客研究和攻击,更小众的 git 代码仓库确实能减少和黑客的正面相遇。 |
 |
242
Gathaly 2022-06-07 05:47:29 +08:00
dmz 要设置好
|
 |
243
ericgui 2022-06-16 12:46:32 +08:00
[WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿]
|
 |
244
CSGO 2022-07-12 09:13:56 +08:00
所以是怎么被黑的?密码泄露?
|
 |
245
superwater 2022-08-02 11:57:23 +08:00
@xiaopigfly 这才是正道..
|
 |
246
abctensor 270 天前
程序有漏洞是必然:(
所以你司是因为哪个漏洞栽的?是不是每一次都会有漏洞,概念神没有弱神啊😹 |
 |
247
snuglove 7 天前
gitea
|
Select Language