情况是这样的,我们公司一直用 gitlab ,搭建在阿里云服务器上,作为公司内部开发代码仓库。但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题。
直到今天上午,我们发现在提交代码的时候冲突,就觉得奇怪,然后就上 gitlab 看了一眼,发现被人从 gitlab 的 web 端登录,并将恶意代码提交到了我们的仓库中。。。
顿时吓出一身冷汗啊!绝绝子!
上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。
各位老哥,请问有没有能替代 gitlab 的项目,最好也是开源免费的,功能不用太多,够用就行,名气最好别太大。我们已经不敢再用 gitlab 了。
1
Jooooooooo 2022-02-24 20:49:15 +08:00 50
?
"阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞" 然后真的被攻击了 表现很惊讶 ? |
2
tomczhen 2022-02-24 20:54:28 +08:00 via Android 1
当然是选择自研了。
只要不公开代码,就没黑客知道有漏洞 :doge: |
3
yhxx 2022-02-24 20:54:45 +08:00 34
首先为啥你们的 gitlab 公网能访问?
然后时不时的被提醒还不当回事,出事了觉得人家不安全? |
4
heipipi OP |
5
swsh007 2022-02-24 20:55:52 +08:00 via Android
都内部了
为啥用公网放代码 |
6
opengps 2022-02-24 20:56:29 +08:00
安全防御稍微多点就足够了,不用替换掉
|
7
illl 2022-02-24 20:57:36 +08:00 via iPhone
去年出了个 rce 漏洞的嘛,及时更新问题就不大
|
8
jim9606 2022-02-24 20:58:54 +08:00
你有本事自研就来吧,看你老板愿意给你分多少经费人力时间吧,搞成了你就是公司骨干了。
|
9
ysjiang4869 2022-02-24 20:58:57 +08:00 via Android 2
及时更新升级,限制访问 IP 等都行啊。别因噎废食啊
|
10
icy37785 2022-02-24 20:59:14 +08:00 via iPhone 40
不能理解,都提示有安全漏洞,说明是已知漏洞,已知漏洞一般版本更新都会修复,有更新补丁之前至少也会有临时解决方案。
自己不当回事然后现在很吃惊的样子,我理解不了。 然后怪人家名气大,要找名气没那么大的项目。这个脑回路我更理解不了。 没有任何代码是没有漏洞的,名气大一般发现漏洞后被修复快,没什么人用的项目,有漏洞正在被人利用可能你都不知道。 gitlab 至少阿里云都在提示你了。 |
11
arischow 2022-02-24 21:02:38 +08:00 23
没这水平就直接去买服务
|
12
skiy 2022-02-24 21:05:36 +08:00
只用代码仓库? gitea/gogs 可以。也可以用 V 友开发的 onedev 。另外,GitLab 可以用 docker 布署吧?升级也挺方便啊。
|
13
xiangyuecn 2022-02-24 21:06:48 +08:00
暴露公网,被人多捅几下也没什么毛病吧😂
|
14
dzdh 2022-02-24 21:10:15 +08:00 31
一个人跟我说他有新冠。我没理他,没想到我居然也阳了。
|
15
0o0O0o0O0o 2022-02-24 21:21:38 +08:00
> 上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全
你得关注更新啊 |
16
jousca 2022-02-24 21:29:18 +08:00 1
阿里云都发现漏洞了,你不升级修补,翻车了怪人家 gitlab
你们公司的运维都是挂职的么…… |
17
felixcode 2022-02-24 21:58:20 +08:00 via Android 1
这种放公网的自建服务就得有运维工作,至少得有补丁升级和安全防护。
如果都没有,无视 waf 报警,还吓出一身冷汗,那只能说这些危险都在你们的预知范围外,更不用提怎么防范了,用什么搭建都白搭。 没被收取天价账单费用就不错了,纯属幸运。 |
18
kingfalse 2022-02-24 22:00:21 +08:00 via Android
gitlab 内网部署,不开放公网这不是基本常识吗。。。
|
19
Senorsen 2022-02-24 22:12:40 +08:00
不管你们用啥,暴露到公网+不及时更新,都会被黑的。。
|
20
Osk 2022-02-24 22:23:36 +08:00
就算自己开发, 也不能保证没有漏洞吧, 你引入的每一个第三方库 /框架等都会成为风险来源.
放公网必须得有人负责维护, 关注升级, 安装更新等等. 不然就算你们用 ssh 来做 git 后端也一样被黑. |
21
yangzzzzzz 2022-02-24 22:27:04 +08:00
局域网
|
22
0ZXYDDu796nVCFxq 2022-02-24 22:45:05 +08:00 10
贵司居然这样还被黑,我们才思细级恐
请问贵司是做什么的,说出来让我们避避坑,2B 2C 都不敢用你们的东西啊 |
23
potatowish 2022-02-24 23:13:17 +08:00 via iPhone
常识都知道部在内网
|
24
villivateur 2022-02-24 23:14:58 +08:00 via Android
细思极恐啊,我的 Windows 服务器,密码设成 123456 ,居然被黑了
|
25
jpyl0423 2022-02-24 23:17:23 +08:00
公网直接开放,真的牛批,防火墙都没有吗
|
26
ck65 2022-02-24 23:19:57 +08:00
简直一桩事先宣扬的谋杀案。OP 这公司的安全意识基本就是生怕缺少受害者给杀手造成困扰。瑞斯拜。
|
27
nieyujiang 2022-02-24 23:25:18 +08:00 via iPhone
都提示你有漏洞了,为什么不更新。留着漏洞等着过年来个透心凉嘛
|
28
eason1874 2022-02-24 23:57:35 +08:00 4
绝绝子,离谱到甚至分不清是真傻还是反串.jpg
没有系统可以避免漏洞,发现漏洞只是迟早的问题,打补丁是必须的。就算内网隔离,跳板机的操作系统依赖程序也有可能出现 Heartbleed bug 这类漏洞 你要想有一个不打补丁也不会被黑的系统,那电脑别联网 |
29
duke807 2022-02-25 00:04:14 +08:00 via Android
我司用的是在境外 vps 上架的 gerrit 做內部使用,web 驗證是 apache 的用戶密碼登陸,至少用了超過 5 年,沒出過事
公網可以訪問更方便啊,怪公網能訪問的人本末倒置了吧 |
30
leeg810312 2022-02-25 00:15:32 +08:00 via Android
既然公网,为什么不用 saas ?自己搭建又不维护,这是什么思路?其他系统不会有漏洞?
|
32
SP00F 2022-02-25 02:09:57 +08:00
🙁 Windows 名气也大,也有漏洞,要不也弃用了吧。。
有漏洞的时候不更新不修复,要换其他开源的还是不更新不修复同样等着被日。最好还是花钱买服务吧 |
33
msg7086 2022-02-25 03:03:30 +08:00
ermmm 挺少见到这种发帖找骂的帖子的……
|
34
Nnq 2022-02-25 06:08:46 +08:00
你们不是云服务的 gitlab 你不老实的放内网 你还想用阿里云做个 public cooud 版本不成?
|
36
levinit 2022-02-25 07:53:46 +08:00 via iPhone
云上配 opevpn ,自己连 vpn 才能访问,是起码的吧,这就解决了 99%的问题
|
37
irainsoft 2022-02-25 08:47:57 +08:00
你们这样的安全态度,用什么软件都是被黑
|
38
Davic1 2022-02-25 08:53:49 +08:00 1
"上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。"
看到这我呆住了... |
39
icewent 2022-02-25 08:54:44 +08:00
"思细级恐",这个词到底有多少种拼法?
|
40
murmur 2022-02-25 09:04:11 +08:00
侧面说明是不是说阿里的漏洞扫描还是挺靠谱的
|
41
mangoDB 2022-02-25 09:04:35 +08:00
简直就是公网裸奔。
|
42
xuyang2 2022-02-25 09:12:28 +08:00
____ 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。
|
43
NotFoundEgg 2022-02-25 09:17:16 +08:00 1
gitlab 部署在内网,用企业 vpn 访问
|
44
HardStone 2022-02-25 09:21:28 +08:00
😅
|
45
ThirdFlame 2022-02-25 09:28:54 +08:00
任何软件都可能有漏洞。gitlab 有漏洞,阿里云拦截下,下一步正确的操作不是“无视告警” 而是尽快按照 gitlab 给的补丁进行升级。
有漏洞不升级,出问题了,说“上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。”。 那你不管你用啥都不会安全的。 现在正确的操作时,打上补丁,做好访问控制。而不是去找替代 gitlab 的项目 |
46
66beta 2022-02-25 09:32:57 +08:00
等一下,为什么公司 gitlab 可以被公网访问?
|
47
chenmobuys 2022-02-25 09:33:02 +08:00
啥软件没有漏洞,说的愣住了,这是程序员能说出的话。。。
|
48
Felldeadbird 2022-02-25 09:37:43 +08:00
gitlab 应该丢内网服务器啊。丢阿里云你们不嫌弃 速度慢吗? 实在要丢公网,搞一个安全策略,只能指定 IP 访问。
|
49
andy2415 2022-02-25 09:42:36 +08:00
我不李姐
|
50
aitaii 2022-02-25 09:44:15 +08:00
|
51
ScotGu 2022-02-25 09:44:42 +08:00
就这?你就承认这是阿里云 waf 的推广帖吧。
如果不是,那我真担心贵司走路崴脚后会不会锯腿。 |
52
devwolf 2022-02-25 09:53:45 +08:00
方方面面让我大为震撼
|
53
tcfenix 2022-02-25 10:00:15 +08:00 5
请务必告知你们公司的名称或者产品, 这样大家以后能绕着走
|
54
pkoukk 2022-02-25 10:01:16 +08:00
我们纯内网环境的 gitlab 都 1-2 个月更新一次....
你放外网还不更新真的心大 |
55
g0thic 2022-02-25 10:06:42 +08:00
这水平怎么知道用 gitlab 的
|
56
Greenm 2022-02-25 10:06:59 +08:00 10
言论太过于弱智以致于没人喷“绝绝子”
|
57
lakehylia 2022-02-25 10:10:07 +08:00
OA 和公司资源最好都是放在公司内网防火墙后面,访问公司资源就连 vpn 啊,这不是成熟的方案了么?
|
58
yvescheung 2022-02-25 10:14:27 +08:00
防火墙不会搞? IP 白名单不会添加??
|
59
shiguiyou 2022-02-25 10:15:18 +08:00
楼主被你们说的自闭了...
小知识:大公司的代码库都要连接 vpn 才能从外网 pull/push 代码 |
60
Bluecoda 2022-02-25 10:15:37 +08:00
gitlab 是什么版本?你更新了吗?
为什么提示有漏洞不修? windows/linux 自己都有漏洞,你这样要求一个 gitlab 是不是有点过分? |
61
ChasLui 2022-02-25 10:19:01 +08:00
曾经见到过中科大的 gitlab 公然暴露外网,而且还能注册
|
62
mhycy 2022-02-25 10:20:53 +08:00 1
水平烂得想骂人
运维水平垃圾,整体网络架构烂,制度没定没落实,就别怪人家软件有漏洞,阿里都在用 gitlab 这么简单下一个自研决定,言下之意是什么?对系统复杂度没任何预估 这已经直接反应技术水平了 |
63
eurry 2022-02-25 10:24:01 +08:00
我知道的有个 https://gogs.io/
|
65
ww2000e 2022-02-25 10:30:39 +08:00
开源的东西直接放公网肯定不行
|
66
efaun 2022-02-25 10:32:17 +08:00
每日一蚌
|
67
usedname 2022-02-25 10:35:14 +08:00
这不叫细思极恐,应该叫脑子有泡
|
68
chenstor 2022-02-25 10:37:20 +08:00
1 、内部代码库居然允许公网访问,是优秀了点
2 、阿里云都提示漏洞居然长期不理会,也很优秀 3 、找所谓的名气小,就安全了? |
69
Torpedo 2022-02-25 10:48:06 +08:00
内外分离就行了。要不就买个谁家的服务
|
70
GOURIDE 2022-02-25 10:48:09 +08:00
之前不是有人分享过自己团队写的 git 管理平台么
|
71
heipipi OP 一堆人还跟我抗。我就想问一下:
1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾? 2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当? 3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西? 4. 如果 gitlab 本身足够安全,放公网又如何? |
72
heipipi OP 5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?
|
73
labulaka521 2022-02-25 10:58:53 +08:00 1
你给 gitlab 钱了吗
什么公司说出来让大家乐呵乐呵 |
74
godmiracle 2022-02-25 10:59:30 +08:00
提示你漏洞 你还不更新修复漏洞 不是自找的?
|
75
encro 2022-02-25 11:01:14 +08:00
阿里云 codeup 随便,腾讯 coding
|
76
ncepuzs 2022-02-25 11:03:15 +08:00
看了楼主的附言,只觉牛逼哄哄,但不知为何忍不住发笑
|
77
xFrye 2022-02-25 11:05:51 +08:00
啊这,gitlab 公网能直接访问这什么操作,这不是在公司内网部署的仓库?为什么 web 应用就一定得要放互联网啊,这前后有必然的联系吗?
|
78
ishengge 2022-02-25 11:06:52 +08:00
想笑了。啊哈哈
|
79
shyling 2022-02-25 11:07:08 +08:00
反串表演吗。。。有点绷不住
|
80
ExplorerLog 2022-02-25 11:07:57 +08:00
gitlab 说 update asap ,你没当回事,你说 gitlab 有问题
杀毒软件让你更新病毒库,你不更新,中毒了,你说杀毒软件不行 |
81
Tokin 2022-02-25 11:10:41 +08:00
大开眼界
|
82
tcpdump 2022-02-25 11:11:50 +08:00
附言牛逼,我突然想明白了,理解万岁
|
83
pandaaa 2022-02-25 11:12:43 +08:00
今日笑谈哈哈
|
84
HardStone 2022-02-25 11:13:36 +08:00 4
@heipipi #71 (翻译翻译)
1. 钱不就是拿出去外面花嘛, 为什么不能直接把银行卡放在大街上 2. 银行卡被盗用了, 你们就一股脑说我的密码设置简单, 银行卡就毫无问题? 银行为什么不验证是不是我本人不是理所应当? 3. 银行本身也没说银行卡必须放在家里 4. 如果银行验证程序足够全面, 放在门口 /大街 /公厕又如何 5. 有些人张口就说让我放好设置复杂密码, 请问您知道我放在哪里? 密码是什么? 您是会算还是会猜 |
85
guaguaguaxia1 2022-02-25 11:14:00 +08:00
gitlab 公网能访问,就知道楼主什么水平了
|
86
heipipi OP @guaguaguaxia1 按你的逻辑,gitlab 放在公网就是水平底下。那么 gitlab.com 也在公网访问,那么 gitlab 官方是什么水平?
|
89
lovelynn 2022-02-25 11:18:00 +08:00 1
回答一下楼主升级的回答,如果你已经是最高的 gitlab 版本,依然在黑客没有可用账号密码的情况下 gitlab 被黑,那么恭喜你 你可能捕获了一个 0day 这可是很值钱的~
|
90
so1n 2022-02-25 11:18:51 +08:00
这个可以公网访问 gitlab 仓库的操作真的牛逼了.....
|
91
superchijinpeng 2022-02-25 11:19:11 +08:00 2
神操作,既然都放公网了,为什么不直接用 gitlab.com ,还能省去运维成本,笑
|
92
wangyzj 2022-02-25 11:19:27 +08:00
如果代码库很重要就不要放在公网,至少要过一层 vpn
gitlab 更新频率很高,更新了一般不会有这种问题 so |
93
ncepuzs 2022-02-25 11:19:54 +08:00
@ChasLui #61 这个原本就是计划对外提供服务的,后来才转向仅限校内用户注册。公网访问没啥啊,安全措施到位,运维团队(科大 Linux 用户协会,提供的其他公共服务包括科大镜像站等)给力就行。
|
94
nullboy 2022-02-25 11:20:06 +08:00
附言牛逼,po 主脑回路清奇
|
95
so1n 2022-02-25 11:21:18 +08:00
@heipipi 不是。。。。别人说的是代码仓 你说的是官网 如果你不是运维你这样说还可以 如果你是运维 这样说就是安全意识薄弱了 任何东西放在公网都会被攻击,最低成本的解决办法就是放内网,然后用内部网络 /公司 VPN 访问,不然就需要人力去维护
|
96
HardStone 2022-02-25 11:23:21 +08:00
@heipipi #88 只是想说, 什么事情都有两面, 享受好处的同时尽量避免坏处, 一味寻找"下一个"只会没有尽头
其他大佬们说的问题我也不是完全赞同, 因为我们公司也是公网访问 但是我们公司有很多层验证, 邮箱 /2FA, 出现问题的时候也会停机维护及时更新 /修复 |
97
iamdaguduizhang 2022-02-25 11:25:00 +08:00 1
“你的东西都给我公开免费用了,怎么能有问题哪,你真是个王八蛋!!!”
|
98
pinkbook 2022-02-25 11:25:43 +08:00 1
看了附言,噗~~,充分体现了 lz 的自大和无知。以及不思进取。
建议说出公司及产品名字,大家避雷。 楼上说的很清楚了,没有任何一个程序是完全无漏洞的(即使现在没有,以后也会有),连 log4j 都能都大的 bug ,难道大家都不用了??? 看来你们公司根本没有专业的安全团队,笑死。哪天公司服务器被勒索了,就知道哭了。 人不行怪路不平! |
99
lovelynn 2022-02-25 11:26:11 +08:00 1
gitlab 的权限管理很多可以配置的,不开放注册并且没有弱口令的情况下 很难造成类似楼主的这种安全问题。介于楼主阿里云的告警,基本都是基于已经公开的 gitlab 安全漏洞才会告警,这一点就可以证明楼主的 gitlab 并没有升级到最新版本。安全圈里有句话,没有安全的系统。即使像 spring 、log4j 这种使用普及的项目 也依然曾经出现重大安全问题。如果因为安全问题弃用 gitlab ,那你大概率找不到更安全的开源代码管理系统。其次楼上说的 gitlab 不应开放在公网,这点我也是认可的。gitlab 历史上出现的一些模版注入、或者命令注入引起的 RCE ,因其业务复杂 很难保证不出现在其他地方。使用 VPN 也可以防范于未然
|
100
zpfhbyx 2022-02-25 11:30:33 +08:00
@pinkbook 估计服务器被勒索了..还要怪*nix 你让免费用, 还开源.. 让人玩透了,果断换 mac 当服务器, 闭源 有漏洞正常
|