V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
heipipi
V2EX  ›  GitLab

思细级恐啊,我们自己搭的 gitlab 的都被黑了!

  •  
  •   heipipi · 2022-02-24 20:48:00 +08:00 · 26007 次点击
    这是一个创建于 984 天前的主题,其中的信息可能已经有所发展或是发生改变。

    情况是这样的,我们公司一直用 gitlab ,搭建在阿里云服务器上,作为公司内部开发代码仓库。但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题。

    直到今天上午,我们发现在提交代码的时候冲突,就觉得奇怪,然后就上 gitlab 看了一眼,发现被人从 gitlab 的 web 端登录,并将恶意代码提交到了我们的仓库中。。。

    顿时吓出一身冷汗啊!绝绝子!

    上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。

    各位老哥,请问有没有能替代 gitlab 的项目,最好也是开源免费的,功能不用太多,够用就行,名气最好别太大。我们已经不敢再用 gitlab 了。

    第 1 条附言  ·  2022-02-25 10:54:46 +08:00
    一堆人还跟我抗。我就想问一下:
    1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾?
    2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当?
    3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西?
    4. 如果 gitlab 本身足够安全,放公网又如何?
    第 2 条附言  ·  2022-02-25 10:58:03 +08:00
    5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?
    第 3 条附言  ·  2022-02-25 15:52:23 +08:00
    你们针对内网说事儿的,真的是跪的太多,站不起来了吧?什么时候一款 web 应用,只能用内网物理隔离的办法才能安全使用,居然还被认为是理所应当?还认为这毫无问题?我也是见识了!
    第 4 条附言  ·  2022-02-25 16:09:13 +08:00
    有些人完全避而不谈 gitlab 本身的安全漏洞,反而告诉我应该用最粗暴最简单的的内网物理隔离才能用使用。如果 web 应用程序都做成这样,那请问还要 web 安全何用?
    247 条回复    2024-04-16 19:42:57 +08:00
    1  2  3  
    Jooooooooo
        1
    Jooooooooo  
       2022-02-24 20:49:15 +08:00   ❤️ 50
    ?

    "阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞"

    然后真的被攻击了

    表现很惊讶

    ?
    tomczhen
        2
    tomczhen  
       2022-02-24 20:54:28 +08:00 via Android   ❤️ 1
    当然是选择自研了。

    只要不公开代码,就没黑客知道有漏洞 :doge:
    yhxx
        3
    yhxx  
       2022-02-24 20:54:45 +08:00   ❤️ 34
    首先为啥你们的 gitlab 公网能访问?

    然后时不时的被提醒还不当回事,出事了觉得人家不安全?
    heipipi
        4
    heipipi  
    OP
       2022-02-24 20:55:04 +08:00
    swsh007
        5
    swsh007  
       2022-02-24 20:55:52 +08:00 via Android
    都内部了
    为啥用公网放代码
    opengps
        6
    opengps  
       2022-02-24 20:56:29 +08:00
    安全防御稍微多点就足够了,不用替换掉
    illl
        7
    illl  
       2022-02-24 20:57:36 +08:00 via iPhone
    去年出了个 rce 漏洞的嘛,及时更新问题就不大
    jim9606
        8
    jim9606  
       2022-02-24 20:58:54 +08:00
    你有本事自研就来吧,看你老板愿意给你分多少经费人力时间吧,搞成了你就是公司骨干了。
    ysjiang4869
        9
    ysjiang4869  
       2022-02-24 20:58:57 +08:00 via Android   ❤️ 2
    及时更新升级,限制访问 IP 等都行啊。别因噎废食啊
    icy37785
        10
    icy37785  
       2022-02-24 20:59:14 +08:00 via iPhone   ❤️ 40
    不能理解,都提示有安全漏洞,说明是已知漏洞,已知漏洞一般版本更新都会修复,有更新补丁之前至少也会有临时解决方案。
    自己不当回事然后现在很吃惊的样子,我理解不了。
    然后怪人家名气大,要找名气没那么大的项目。这个脑回路我更理解不了。
    没有任何代码是没有漏洞的,名气大一般发现漏洞后被修复快,没什么人用的项目,有漏洞正在被人利用可能你都不知道。
    gitlab 至少阿里云都在提示你了。
    arischow
        11
    arischow  
       2022-02-24 21:02:38 +08:00   ❤️ 23
    没这水平就直接去买服务
    skiy
        12
    skiy  
       2022-02-24 21:05:36 +08:00
    只用代码仓库? gitea/gogs 可以。也可以用 V 友开发的 onedev 。另外,GitLab 可以用 docker 布署吧?升级也挺方便啊。
    xiangyuecn
        13
    xiangyuecn  
       2022-02-24 21:06:48 +08:00
    暴露公网,被人多捅几下也没什么毛病吧😂
    dzdh
        14
    dzdh  
       2022-02-24 21:10:15 +08:00   ❤️ 31
    一个人跟我说他有新冠。我没理他,没想到我居然也阳了。
    0o0O0o0O0o
        15
    0o0O0o0O0o  
       2022-02-24 21:21:38 +08:00
    > 上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全

    你得关注更新啊
    jousca
        16
    jousca  
       2022-02-24 21:29:18 +08:00   ❤️ 1
    阿里云都发现漏洞了,你不升级修补,翻车了怪人家 gitlab

    你们公司的运维都是挂职的么……
    felixcode
        17
    felixcode  
       2022-02-24 21:58:20 +08:00 via Android   ❤️ 1
    这种放公网的自建服务就得有运维工作,至少得有补丁升级和安全防护。
    如果都没有,无视 waf 报警,还吓出一身冷汗,那只能说这些危险都在你们的预知范围外,更不用提怎么防范了,用什么搭建都白搭。
    没被收取天价账单费用就不错了,纯属幸运。
    kingfalse
        18
    kingfalse  
       2022-02-24 22:00:21 +08:00 via Android
    gitlab 内网部署,不开放公网这不是基本常识吗。。。
    Senorsen
        19
    Senorsen  
       2022-02-24 22:12:40 +08:00
    不管你们用啥,暴露到公网+不及时更新,都会被黑的。。
    Osk
        20
    Osk  
       2022-02-24 22:23:36 +08:00
    就算自己开发, 也不能保证没有漏洞吧, 你引入的每一个第三方库 /框架等都会成为风险来源.

    放公网必须得有人负责维护, 关注升级, 安装更新等等.

    不然就算你们用 ssh 来做 git 后端也一样被黑.
    yangzzzzzz
        21
    yangzzzzzz  
       2022-02-24 22:27:04 +08:00
    局域网
    0ZXYDDu796nVCFxq
        22
    0ZXYDDu796nVCFxq  
       2022-02-24 22:45:05 +08:00   ❤️ 10
    贵司居然这样还被黑,我们才思细级恐
    请问贵司是做什么的,说出来让我们避避坑,2B 2C 都不敢用你们的东西啊
    potatowish
        23
    potatowish  
       2022-02-24 23:13:17 +08:00 via iPhone
    常识都知道部在内网
    villivateur
        24
    villivateur  
       2022-02-24 23:14:58 +08:00 via Android
    细思极恐啊,我的 Windows 服务器,密码设成 123456 ,居然被黑了
    jpyl0423
        25
    jpyl0423  
       2022-02-24 23:17:23 +08:00
    公网直接开放,真的牛批,防火墙都没有吗
    ck65
        26
    ck65  
       2022-02-24 23:19:57 +08:00
    简直一桩事先宣扬的谋杀案。OP 这公司的安全意识基本就是生怕缺少受害者给杀手造成困扰。瑞斯拜。
    nieyujiang
        27
    nieyujiang  
       2022-02-24 23:25:18 +08:00 via iPhone
    都提示你有漏洞了,为什么不更新。留着漏洞等着过年来个透心凉嘛
    eason1874
        28
    eason1874  
       2022-02-24 23:57:35 +08:00   ❤️ 4
    绝绝子,离谱到甚至分不清是真傻还是反串.jpg

    没有系统可以避免漏洞,发现漏洞只是迟早的问题,打补丁是必须的。就算内网隔离,跳板机的操作系统依赖程序也有可能出现 Heartbleed bug 这类漏洞

    你要想有一个不打补丁也不会被黑的系统,那电脑别联网
    duke807
        29
    duke807  
       2022-02-25 00:04:14 +08:00 via Android
    我司用的是在境外 vps 上架的 gerrit 做內部使用,web 驗證是 apache 的用戶密碼登陸,至少用了超過 5 年,沒出過事
    公網可以訪問更方便啊,怪公網能訪問的人本末倒置了吧
    leeg810312
        30
    leeg810312  
       2022-02-25 00:15:32 +08:00 via Android
    既然公网,为什么不用 saas ?自己搭建又不维护,这是什么思路?其他系统不会有漏洞?
    privil
        31
    privil  
       2022-02-25 00:58:16 +08:00
    @duke807 #29 正常情况就是放内网连 vpn ,登录二次认证加强,没有独立的安全团队放外网不是找抽吗?
    SP00F
        32
    SP00F  
       2022-02-25 02:09:57 +08:00
    🙁 Windows 名气也大,也有漏洞,要不也弃用了吧。。
    有漏洞的时候不更新不修复,要换其他开源的还是不更新不修复同样等着被日。最好还是花钱买服务吧
    msg7086
        33
    msg7086  
       2022-02-25 03:03:30 +08:00
    ermmm 挺少见到这种发帖找骂的帖子的……
    Nnq
        34
    Nnq  
       2022-02-25 06:08:46 +08:00
    你们不是云服务的 gitlab 你不老实的放内网 你还想用阿里云做个 public cooud 版本不成?
    ltkun
        35
    ltkun  
       2022-02-25 06:12:33 +08:00 via Android
    @SP00F 弃用 Windows 又不影响科技发展 操作系统又不是就这一个 国家不就在这么干么
    levinit
        36
    levinit  
       2022-02-25 07:53:46 +08:00 via iPhone
    云上配 opevpn ,自己连 vpn 才能访问,是起码的吧,这就解决了 99%的问题
    irainsoft
        37
    irainsoft  
       2022-02-25 08:47:57 +08:00
    你们这样的安全态度,用什么软件都是被黑
    Davic1
        38
    Davic1  
       2022-02-25 08:53:49 +08:00   ❤️ 1
    "上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。"

    看到这我呆住了...
    icewent
        39
    icewent  
       2022-02-25 08:54:44 +08:00
    "思细级恐",这个词到底有多少种拼法?
    murmur
        40
    murmur  
       2022-02-25 09:04:11 +08:00
    侧面说明是不是说阿里的漏洞扫描还是挺靠谱的
    mangoDB
        41
    mangoDB  
       2022-02-25 09:04:35 +08:00
    简直就是公网裸奔。
    xuyang2
        42
    xuyang2  
       2022-02-25 09:12:28 +08:00
    ____ 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。
    NotFoundEgg
        43
    NotFoundEgg  
       2022-02-25 09:17:16 +08:00   ❤️ 1
    gitlab 部署在内网,用企业 vpn 访问
    HardStone
        44
    HardStone  
       2022-02-25 09:21:28 +08:00
    😅
    ThirdFlame
        45
    ThirdFlame  
       2022-02-25 09:28:54 +08:00
    任何软件都可能有漏洞。gitlab 有漏洞,阿里云拦截下,下一步正确的操作不是“无视告警” 而是尽快按照 gitlab 给的补丁进行升级。

    有漏洞不升级,出问题了,说“上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。”。
    那你不管你用啥都不会安全的。

    现在正确的操作时,打上补丁,做好访问控制。而不是去找替代 gitlab 的项目
    66beta
        46
    66beta  
       2022-02-25 09:32:57 +08:00
    等一下,为什么公司 gitlab 可以被公网访问?
    chenmobuys
        47
    chenmobuys  
       2022-02-25 09:33:02 +08:00
    啥软件没有漏洞,说的愣住了,这是程序员能说出的话。。。
    Felldeadbird
        48
    Felldeadbird  
       2022-02-25 09:37:43 +08:00
    gitlab 应该丢内网服务器啊。丢阿里云你们不嫌弃 速度慢吗? 实在要丢公网,搞一个安全策略,只能指定 IP 访问。
    andy2415
        49
    andy2415  
       2022-02-25 09:42:36 +08:00
    我不李姐
    aitaii
        50
    aitaii  
       2022-02-25 09:44:15 +08:00
    两个问题:
    1.解决公网安全问题,尤其公司内部使用服务
    2.其他推荐 https://onedev.io/
    ScotGu
        51
    ScotGu  
       2022-02-25 09:44:42 +08:00
    就这?你就承认这是阿里云 waf 的推广帖吧。

    如果不是,那我真担心贵司走路崴脚后会不会锯腿。
    devwolf
        52
    devwolf  
       2022-02-25 09:53:45 +08:00
    方方面面让我大为震撼
    tcfenix
        53
    tcfenix  
       2022-02-25 10:00:15 +08:00   ❤️ 5
    请务必告知你们公司的名称或者产品, 这样大家以后能绕着走
    pkoukk
        54
    pkoukk  
       2022-02-25 10:01:16 +08:00
    我们纯内网环境的 gitlab 都 1-2 个月更新一次....
    你放外网还不更新真的心大
    g0thic
        55
    g0thic  
       2022-02-25 10:06:42 +08:00
    这水平怎么知道用 gitlab 的
    Greenm
        56
    Greenm  
       2022-02-25 10:06:59 +08:00   ❤️ 10
    言论太过于弱智以致于没人喷“绝绝子”
    lakehylia
        57
    lakehylia  
       2022-02-25 10:10:07 +08:00
    OA 和公司资源最好都是放在公司内网防火墙后面,访问公司资源就连 vpn 啊,这不是成熟的方案了么?
    yvescheung
        58
    yvescheung  
       2022-02-25 10:14:27 +08:00
    防火墙不会搞? IP 白名单不会添加??
    shiguiyou
        59
    shiguiyou  
       2022-02-25 10:15:18 +08:00
    楼主被你们说的自闭了...

    小知识:大公司的代码库都要连接 vpn 才能从外网 pull/push 代码
    Bluecoda
        60
    Bluecoda  
       2022-02-25 10:15:37 +08:00
    gitlab 是什么版本?你更新了吗?
    为什么提示有漏洞不修? windows/linux 自己都有漏洞,你这样要求一个 gitlab 是不是有点过分?
    ChasLui
        61
    ChasLui  
       2022-02-25 10:19:01 +08:00
    曾经见到过中科大的 gitlab 公然暴露外网,而且还能注册
    mhycy
        62
    mhycy  
       2022-02-25 10:20:53 +08:00   ❤️ 1
    水平烂得想骂人
    运维水平垃圾,整体网络架构烂,制度没定没落实,就别怪人家软件有漏洞,阿里都在用 gitlab
    这么简单下一个自研决定,言下之意是什么?对系统复杂度没任何预估
    这已经直接反应技术水平了
    eurry
        63
    eurry  
       2022-02-25 10:24:01 +08:00
    我知道的有个 https://gogs.io/
    czfy
        64
    czfy  
       2022-02-25 10:24:23 +08:00
    @shiguiyou 我觉得按照 OP 主贴语言风格反应出来的性格,不会反思不会自闭的
    ww2000e
        65
    ww2000e  
       2022-02-25 10:30:39 +08:00
    开源的东西直接放公网肯定不行
    efaun
        66
    efaun  
       2022-02-25 10:32:17 +08:00
    每日一蚌
    usedname
        67
    usedname  
       2022-02-25 10:35:14 +08:00
    这不叫细思极恐,应该叫脑子有泡
    chenstor
        68
    chenstor  
       2022-02-25 10:37:20 +08:00
    1 、内部代码库居然允许公网访问,是优秀了点
    2 、阿里云都提示漏洞居然长期不理会,也很优秀
    3 、找所谓的名气小,就安全了?
    Torpedo
        69
    Torpedo  
       2022-02-25 10:48:06 +08:00
    内外分离就行了。要不就买个谁家的服务
    GOURIDE
        70
    GOURIDE  
       2022-02-25 10:48:09 +08:00
    之前不是有人分享过自己团队写的 git 管理平台么
    heipipi
        71
    heipipi  
    OP
       2022-02-25 10:54:56 +08:00   ❤️ 1
    一堆人还跟我抗。我就想问一下:
    1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾?
    2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当?
    3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西?
    4. 如果 gitlab 本身足够安全,放公网又如何?
    heipipi
        72
    heipipi  
    OP
       2022-02-25 10:58:19 +08:00
    5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?
    labulaka521
        73
    labulaka521  
       2022-02-25 10:58:53 +08:00   ❤️ 1
    你给 gitlab 钱了吗
    什么公司说出来让大家乐呵乐呵
    godmiracle
        74
    godmiracle  
       2022-02-25 10:59:30 +08:00
    提示你漏洞 你还不更新修复漏洞 不是自找的?
    encro
        75
    encro  
       2022-02-25 11:01:14 +08:00
    阿里云 codeup 随便,腾讯 coding
    ncepuzs
        76
    ncepuzs  
       2022-02-25 11:03:15 +08:00
    看了楼主的附言,只觉牛逼哄哄,但不知为何忍不住发笑
    xFrye
        77
    xFrye  
       2022-02-25 11:05:51 +08:00
    啊这,gitlab 公网能直接访问这什么操作,这不是在公司内网部署的仓库?为什么 web 应用就一定得要放互联网啊,这前后有必然的联系吗?
    ishengge
        78
    ishengge  
       2022-02-25 11:06:52 +08:00
    想笑了。啊哈哈
    shyling
        79
    shyling  
       2022-02-25 11:07:08 +08:00
    反串表演吗。。。有点绷不住
    ExplorerLog
        80
    ExplorerLog  
       2022-02-25 11:07:57 +08:00
    gitlab 说 update asap ,你没当回事,你说 gitlab 有问题

    杀毒软件让你更新病毒库,你不更新,中毒了,你说杀毒软件不行
    Tokin
        81
    Tokin  
       2022-02-25 11:10:41 +08:00
    大开眼界
    tcpdump
        82
    tcpdump  
       2022-02-25 11:11:50 +08:00
    附言牛逼,我突然想明白了,理解万岁
    pandaaa
        83
    pandaaa  
       2022-02-25 11:12:43 +08:00
    今日笑谈哈哈
    HardStone
        84
    HardStone  
       2022-02-25 11:13:36 +08:00   ❤️ 4
    @heipipi #71 (翻译翻译)
    1. 钱不就是拿出去外面花嘛, 为什么不能直接把银行卡放在大街上
    2. 银行卡被盗用了, 你们就一股脑说我的密码设置简单, 银行卡就毫无问题? 银行为什么不验证是不是我本人不是理所应当?
    3. 银行本身也没说银行卡必须放在家里
    4. 如果银行验证程序足够全面, 放在门口 /大街 /公厕又如何
    5. 有些人张口就说让我放好设置复杂密码, 请问您知道我放在哪里? 密码是什么? 您是会算还是会猜
    guaguaguaxia1
        85
    guaguaguaxia1  
       2022-02-25 11:14:00 +08:00
    gitlab 公网能访问,就知道楼主什么水平了
    heipipi
        86
    heipipi  
    OP
       2022-02-25 11:16:27 +08:00
    @guaguaguaxia1 按你的逻辑,gitlab 放在公网就是水平底下。那么 gitlab.com 也在公网访问,那么 gitlab 官方是什么水平?
    dzdh
        87
    dzdh  
       2022-02-25 11:16:40 +08:00
    @dzdh #14

    喂喂喂!!我这是反讽啊!!!不是我真阳了啊!!!!
    heipipi
        88
    heipipi  
    OP
       2022-02-25 11:17:20 +08:00
    @HardStone 可以称你为偷换概念的专家
    lovelynn
        89
    lovelynn  
       2022-02-25 11:18:00 +08:00   ❤️ 1
    回答一下楼主升级的回答,如果你已经是最高的 gitlab 版本,依然在黑客没有可用账号密码的情况下 gitlab 被黑,那么恭喜你 你可能捕获了一个 0day 这可是很值钱的~
    so1n
        90
    so1n  
       2022-02-25 11:18:51 +08:00
    这个可以公网访问 gitlab 仓库的操作真的牛逼了.....
    superchijinpeng
        91
    superchijinpeng  
       2022-02-25 11:19:11 +08:00   ❤️ 2
    神操作,既然都放公网了,为什么不直接用 gitlab.com ,还能省去运维成本,笑
    wangyzj
        92
    wangyzj  
       2022-02-25 11:19:27 +08:00
    如果代码库很重要就不要放在公网,至少要过一层 vpn
    gitlab 更新频率很高,更新了一般不会有这种问题
    so
    ncepuzs
        93
    ncepuzs  
       2022-02-25 11:19:54 +08:00
    @ChasLui #61 这个原本就是计划对外提供服务的,后来才转向仅限校内用户注册。公网访问没啥啊,安全措施到位,运维团队(科大 Linux 用户协会,提供的其他公共服务包括科大镜像站等)给力就行。
    nullboy
        94
    nullboy  
       2022-02-25 11:20:06 +08:00
    附言牛逼,po 主脑回路清奇
    so1n
        95
    so1n  
       2022-02-25 11:21:18 +08:00
    @heipipi 不是。。。。别人说的是代码仓 你说的是官网 如果你不是运维你这样说还可以 如果你是运维 这样说就是安全意识薄弱了 任何东西放在公网都会被攻击,最低成本的解决办法就是放内网,然后用内部网络 /公司 VPN 访问,不然就需要人力去维护
    HardStone
        96
    HardStone  
       2022-02-25 11:23:21 +08:00
    @heipipi #88 只是想说, 什么事情都有两面, 享受好处的同时尽量避免坏处, 一味寻找"下一个"只会没有尽头
    其他大佬们说的问题我也不是完全赞同, 因为我们公司也是公网访问
    但是我们公司有很多层验证, 邮箱 /2FA, 出现问题的时候也会停机维护及时更新 /修复
    iamdaguduizhang
        97
    iamdaguduizhang  
       2022-02-25 11:25:00 +08:00   ❤️ 1
    “你的东西都给我公开免费用了,怎么能有问题哪,你真是个王八蛋!!!”
    pinkbook
        98
    pinkbook  
       2022-02-25 11:25:43 +08:00   ❤️ 1
    看了附言,噗~~,充分体现了 lz 的自大和无知。以及不思进取。
    建议说出公司及产品名字,大家避雷。
    楼上说的很清楚了,没有任何一个程序是完全无漏洞的(即使现在没有,以后也会有),连 log4j 都能都大的 bug ,难道大家都不用了???
    看来你们公司根本没有专业的安全团队,笑死。哪天公司服务器被勒索了,就知道哭了。
    人不行怪路不平!
    lovelynn
        99
    lovelynn  
       2022-02-25 11:26:11 +08:00   ❤️ 1
    gitlab 的权限管理很多可以配置的,不开放注册并且没有弱口令的情况下 很难造成类似楼主的这种安全问题。介于楼主阿里云的告警,基本都是基于已经公开的 gitlab 安全漏洞才会告警,这一点就可以证明楼主的 gitlab 并没有升级到最新版本。安全圈里有句话,没有安全的系统。即使像 spring 、log4j 这种使用普及的项目 也依然曾经出现重大安全问题。如果因为安全问题弃用 gitlab ,那你大概率找不到更安全的开源代码管理系统。其次楼上说的 gitlab 不应开放在公网,这点我也是认可的。gitlab 历史上出现的一些模版注入、或者命令注入引起的 RCE ,因其业务复杂 很难保证不出现在其他地方。使用 VPN 也可以防范于未然
    zpfhbyx
        100
    zpfhbyx  
       2022-02-25 11:30:33 +08:00
    @pinkbook 估计服务器被勒索了..还要怪*nix 你让免费用, 还开源.. 让人玩透了,果断换 mac 当服务器, 闭源 有漏洞正常
    1  2  3  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5289 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 03:50 · PVG 11:50 · LAX 19:50 · JFK 22:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.