情况是这样的,我们公司一直用 gitlab ,搭建在阿里云服务器上,作为公司内部开发代码仓库。但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题。
直到今天上午,我们发现在提交代码的时候冲突,就觉得奇怪,然后就上 gitlab 看了一眼,发现被人从 gitlab 的 web 端登录,并将恶意代码提交到了我们的仓库中。。。
顿时吓出一身冷汗啊!绝绝子!
上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。
各位老哥,请问有没有能替代 gitlab 的项目,最好也是开源免费的,功能不用太多,够用就行,名气最好别太大。我们已经不敢再用 gitlab 了。
 | 1 Jooooooooo Feb 24, 2022  50 ? "阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞" 然后真的被攻击了 表现很惊讶 ? |
 | 2 tomczhen Feb 24, 2022 via Android 1 当然是选择自研了。 只要不公开代码,就没黑客知道有漏洞 :doge: |
 | 3 yhxx Feb 24, 2022 34 首先为啥你们的 gitlab 公网能访问? 然后时不时的被提醒还不当回事,出事了觉得人家不安全? |
 | 4 heipipi OP |
 | 5 whkvf Feb 24, 2022 via Android 都内部了 为啥用公网放代码 |
 | 6 opengps Feb 24, 2022 安全防御稍微多点就足够了,不用替换掉 |
 | 7 illl Feb 24, 2022 via iPhone 去年出了个 rce 漏洞的嘛,及时更新问题就不大 |
 | 8 jim9606 Feb 24, 2022 你有本事自研就来吧,看你老板愿意给你分多少经费人力时间吧,搞成了你就是公司骨干了。 |
 | 9 ysjiang4869 Feb 24, 2022 via Android 2 及时更新升级,限制访问 IP 等都行啊。别因噎废食啊 |
 | 10 icy37785 Feb 24, 2022 via iPhone 41 不能理解,都提示有安全漏洞,说明是已知漏洞,已知漏洞一般版本更新都会修复,有更新补丁之前至少也会有临时解决方案。 自己不当回事然后现在很吃惊的样子,我理解不了。 然后怪人家名气大,要找名气没那么大的项目。这个脑回路我更理解不了。 没有任何代码是没有漏洞的,名气大一般发现漏洞后被修复快,没什么人用的项目,有漏洞正在被人利用可能你都不知道。 gitlab 至少阿里云都在提示你了。 |
 | 11 arischow Feb 24, 2022 23 没这水平就直接去买服务 |
 | 12 skiy Feb 24, 2022 只用代码仓库? gitea/gogs 可以。也可以用 V 友开发的 onedev 。另外,GitLab 可以用 docker 布署吧?升级也挺方便啊。 |
 | 13 xiangyuecn Feb 24, 2022 暴露公网,被人多捅几下也没什么毛病吧 |
 | 14 dzdh Feb 24, 2022 31 一个人跟我说他有新冠。我没理他,没想到我居然也阳了。 |
 | 15 0o0O0o0O0o Feb 24, 2022 > 上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全 你得关注更新啊 |
 | 16 jousca Feb 24, 2022 1 阿里云都发现漏洞了,你不升级修补,翻车了怪人家 gitlab 你们公司的运维都是挂职的么…… |
 | 17 felixcode PRO 1 这种放公网的自建服务就得有运维工作,至少得有补丁升级和安全防护。 如果都没有,无视 waf 报警,还吓出一身冷汗,那只能说这些危险都在你们的预知范围外,更不用提怎么防范了,用什么搭建都白搭。 没被收取天价账单费用就不错了,纯属幸运。 |
 | 18 kingfalse Feb 24, 2022 via Android gitlab 内网部署,不开放公网这不是基本常识吗。。。 |
 | 19 Senorsen Feb 24, 2022 不管你们用啥,暴露到公网+不及时更新,都会被黑的。。 |
 | 20 Osk Feb 24, 2022 就算自己开发, 也不能保证没有漏洞吧, 你引入的每一个第三方库 /框架等都会成为风险来源. 放公网必须得有人负责维护, 关注升级, 安装更新等等. 不然就算你们用 ssh 来做 git 后端也一样被黑. |
 | 21 yangzzzzzz Feb 24, 2022 局域网 |
 | 22 0ZXYDDu796nVCFxq Feb 24, 2022 10 贵司居然这样还被黑,我们才思细级恐 请问贵司是做什么的,说出来让我们避避坑,2B 2C 都不敢用你们的东西啊 |
 | 23 potatowish Feb 24, 2022 via iPhone 常识都知道部在内网 |
 | 24 villivateur Feb 24, 2022 via Android 细思极恐啊,我的 Windows 服务器,密码设成 123456 ,居然被黑了 |
 | 25 jpyl0423 Feb 24, 2022 公网直接开放,真的牛批,防火墙都没有吗 |
 | 26 mogita Feb 24, 2022 简直一桩事先宣扬的谋杀案。OP 这公司的安全意识基本就是生怕缺少受害者给杀手造成困扰。瑞斯拜。 |
 | 27 ZeoKarl Feb 24, 2022 via iPhone 都提示你有漏洞了,为什么不更新。留着漏洞等着过年来个透心凉嘛 |
 | 28 eason1874 Feb 24, 2022 4 绝绝子,离谱到甚至分不清是真傻还是反串.jpg 没有系统可以避免漏洞,发现漏洞只是迟早的问题,打补丁是必须的。就算内网隔离,跳板机的操作系统依赖程序也有可能出现 Heartbleed bug 这类漏洞 你要想有一个不打补丁也不会被黑的系统,那电脑别联网 |
 | 29 duke807 Feb 25, 2022 via Android 我司用的是在境外 vps 上架的 gerrit 做部使用,web 是 apache 的用密登,至少用了超 5 年,出事 公可以更方便啊,怪公能的人本末倒置了吧 |
 | 30 leeg810312 Feb 25, 2022 via Android 既然公网,为什么不用 saas ?自己搭建又不维护,这是什么思路?其他系统不会有漏洞? |
 | 32 SP00F Feb 25, 2022 Windows 名气也大,也有漏洞,要不也弃用了吧。。 有漏洞的时候不更新不修复,要换其他开源的还是不更新不修复同样等着被日。最好还是花钱买服务吧 |
 | 33 msg7086 Feb 25, 2022 ermmm 挺少见到这种发帖找骂的帖子的…… |
 | 34 Nnq Feb 25, 2022 你们不是云服务的 gitlab 你不老实的放内网 你还想用阿里云做个 public cooud 版本不成? |
 | 36 levinit Feb 25, 2022 via iPhone 云上配 opevpn ,自己连 vpn 才能访问,是起码的吧,这就解决了 99%的问题 |
 | 37 irainsoft Feb 25, 2022 你们这样的安全态度,用什么软件都是被黑 |
 | 38 Davic1 Feb 25, 2022 1 "上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。" 看到这我呆住了... |
 | 39 icewent Feb 25, 2022 "思细级恐",这个词到底有多少种拼法? |
 | 40 murmur Feb 25, 2022 侧面说明是不是说阿里的漏洞扫描还是挺靠谱的 |
 | 41 mangoDB Feb 25, 2022 简直就是公网裸奔。 |
 | 42 xuyang2 Feb 25, 2022 ____ 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。 |
 | 43 NotFoundEgg Feb 25, 2022 1 gitlab 部署在内网,用企业 vpn 访问 |
 | 44 HardStone Feb 25, 2022 |
 | 45 ThirdFlame Feb 25, 2022 任何软件都可能有漏洞。gitlab 有漏洞,阿里云拦截下,下一步正确的操作不是“无视告警” 而是尽快按照 gitlab 给的补丁进行升级。 有漏洞不升级,出问题了,说“上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。”。 那你不管你用啥都不会安全的。 现在正确的操作时,打上补丁,做好访问控制。而不是去找替代 gitlab 的项目 |
 | 46 66beta Feb 25, 2022 等一下,为什么公司 gitlab 可以被公网访问? |
 | 47 chenmobuys Feb 25, 2022 啥软件没有漏洞,说的愣住了,这是程序员能说出的话。。。 |
 | 48 Felldeadbird Feb 25, 2022 gitlab 应该丢内网服务器啊。丢阿里云你们不嫌弃 速度慢吗? 实在要丢公网,搞一个安全策略,只能指定 IP 访问。 |
 | 49 andy2415 Feb 25, 2022 我不李姐 |
 | 50 aitaii Feb 25, 2022 |
 | 51 ScotGu Feb 25, 2022 就这?你就承认这是阿里云 waf 的推广帖吧。 如果不是,那我真担心贵司走路崴脚后会不会锯腿。 |
 | 52 devwolf Feb 25, 2022 方方面面让我大为震撼 |
 | 53 tcfenix Feb 25, 2022 5 请务必告知你们公司的名称或者产品, 这样大家以后能绕着走 |
 | 54 pkoukk Feb 25, 2022 我们纯内网环境的 gitlab 都 1-2 个月更新一次.... 你放外网还不更新真的心大 |
 | 55 g0thic Feb 25, 2022 这水平怎么知道用 gitlab 的 |
 | 56 Greenm Feb 25, 2022 10 言论太过于弱智以致于没人喷“绝绝子” |
 | 57 lakehylia Feb 25, 2022 OA 和公司资源最好都是放在公司内网防火墙后面,访问公司资源就连 vpn 啊,这不是成熟的方案了么? |
 | 58 yvescheung Feb 25, 2022 防火墙不会搞? IP 白名单不会添加?? |
 | 59 shidapi Feb 25, 2022 楼主被你们说的自闭了... 小知识:大公司的代码库都要连接 vpn 才能从外网 pull/push 代码 |
 | 60 Bluecoda Feb 25, 2022 gitlab 是什么版本?你更新了吗? 为什么提示有漏洞不修? windows/linux 自己都有漏洞,你这样要求一个 gitlab 是不是有点过分? |
 | 61 ChasLui Feb 25, 2022 曾经见到过中科大的 gitlab 公然暴露外网,而且还能注册 |
 | 62 mhycy Feb 25, 2022 1 水平烂得想骂人 运维水平垃圾,整体网络架构烂,制度没定没落实,就别怪人家软件有漏洞,阿里都在用 gitlab 这么简单下一个自研决定,言下之意是什么?对系统复杂度没任何预估 这已经直接反应技术水平了 |
 | 63 eurry Feb 25, 2022 我知道的有个 https://gogs.io/ |
 | 64 jr55475f112iz2tu Feb 25, 2022 @shiguiyou 我觉得按照 OP 主贴语言风格反应出来的性格,不会反思不会自闭的 |
 | 65 ww2000e Feb 25, 2022 开源的东西直接放公网肯定不行 |
 | 66 efaun Feb 25, 2022 每日一蚌 |
 | 67 usedname Feb 25, 2022 这不叫细思极恐,应该叫脑子有泡 |
 | 68 chenstor Feb 25, 2022 1 、内部代码库居然允许公网访问,是优秀了点 2 、阿里云都提示漏洞居然长期不理会,也很优秀 3 、找所谓的名气小,就安全了? |
 | 69 Torpedo Feb 25, 2022 内外分离就行了。要不就买个谁家的服务 |
 | 70 GOURIDE Feb 25, 2022 之前不是有人分享过自己团队写的 git 管理平台么 |
| 71 heipipi OP 1 一堆人还跟我抗。我就想问一下: 1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾? 2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当? 3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西? 4. 如果 gitlab 本身足够安全,放公网又如何? |
| 72 heipipi OP 5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜? |
 | 73 labulaka521 Feb 25, 2022 1 你给 gitlab 钱了吗 什么公司说出来让大家乐呵乐呵 |
 | 74 godmiracle Feb 25, 2022 提示你漏洞 你还不更新修复漏洞 不是自找的? |
 | 75 encro Feb 25, 2022 阿里云 codeup 随便,腾讯 coding |
 | 76 ncepuzs Feb 25, 2022 看了楼主的附言,只觉牛逼哄哄,但不知为何忍不住发笑 |
 | 77 xFrye Feb 25, 2022 啊这,gitlab 公网能直接访问这什么操作,这不是在公司内网部署的仓库?为什么 web 应用就一定得要放互联网啊,这前后有必然的联系吗? |
 | 78 ishengge Feb 25, 2022 想笑了。啊哈哈 |
 | 79 shyling Feb 25, 2022 反串表演吗。。。有点绷不住 |
 | 80 ExplorerLog Feb 25, 2022 gitlab 说 update asap ,你没当回事,你说 gitlab 有问题 杀毒软件让你更新病毒库,你不更新,中毒了,你说杀毒软件不行 |
 | 81 Tokin Feb 25, 2022 大开眼界 |
 | 82 tcpdump Feb 25, 2022 附言牛逼,我突然想明白了,理解万岁 |
 | 83 pandaaa Feb 25, 2022 今日笑谈哈哈 |
| 84 HardStone Feb 25, 2022 4 @heipipi #71 (翻译翻译) 1. 钱不就是拿出去外面花嘛, 为什么不能直接把银行卡放在大街上 2. 银行卡被盗用了, 你们就一股脑说我的密码设置简单, 银行卡就毫无问题? 银行为什么不验证是不是我本人不是理所应当? 3. 银行本身也没说银行卡必须放在家里 4. 如果银行验证程序足够全面, 放在门口 /大街 /公厕又如何 5. 有些人张口就说让我放好设置复杂密码, 请问您知道我放在哪里? 密码是什么? 您是会算还是会猜 |
 | 85 guaguaguaxia1 Feb 25, 2022 gitlab 公网能访问,就知道楼主什么水平了 |
| 86 heipipi OP @guaguaguaxia1 按你的逻辑,gitlab 放在公网就是水平底下。那么 gitlab.com 也在公网访问,那么 gitlab 官方是什么水平? |
 | 89 lovelynn Feb 25, 2022 1 回答一下楼主升级的回答,如果你已经是最高的 gitlab 版本,依然在黑客没有可用账号密码的情况下 gitlab 被黑,那么恭喜你 你可能捕获了一个 0day 这可是很值钱的~ |
 | 90 so1n Feb 25, 2022 这个可以公网访问 gitlab 仓库的操作真的牛逼了..... |
 | 91 cutiechi Feb 25, 2022 2 神操作,既然都放公网了,为什么不直接用 gitlab.com ,还能省去运维成本,笑 |
 | 92 wangyzj Feb 25, 2022 如果代码库很重要就不要放在公网,至少要过一层 vpn gitlab 更新频率很高,更新了一般不会有这种问题 so |
| 93 ncepuzs Feb 25, 2022 @ChasLui #61 这个原本就是计划对外提供服务的,后来才转向仅限校内用户注册。公网访问没啥啊,安全措施到位,运维团队(科大 Linux 用户协会,提供的其他公共服务包括科大镜像站等)给力就行。 |
 | 94 nullboy Feb 25, 2022 附言牛逼,po 主脑回路清奇 |
| 95 so1n Feb 25, 2022 @heipipi 不是。。。。别人说的是代码仓 你说的是官网 如果你不是运维你这样说还可以 如果你是运维 这样说就是安全意识薄弱了 任何东西放在公网都会被攻击,最低成本的解决办法就是放内网,然后用内部网络 /公司 VPN 访问,不然就需要人力去维护 |
| 96 HardStone Feb 25, 2022 @heipipi #88 只是想说, 什么事情都有两面, 享受好处的同时尽量避免坏处, 一味寻找"下一个"只会没有尽头 其他大佬们说的问题我也不是完全赞同, 因为我们公司也是公网访问 但是我们公司有很多层验证, 邮箱 /2FA, 出现问题的时候也会停机维护及时更新 /修复 |
 | 97 iamdaguduizhang Feb 25, 2022 1 “你的东西都给我公开免费用了,怎么能有问题哪,你真是个王八蛋!!!” |
 | 98 pinkbook Feb 25, 2022 1 看了附言,噗~~,充分体现了 lz 的自大和无知。以及不思进取。 建议说出公司及产品名字,大家避雷。 楼上说的很清楚了,没有任何一个程序是完全无漏洞的(即使现在没有,以后也会有),连 log4j 都能都大的 bug ,难道大家都不用了??? 看来你们公司根本没有专业的安全团队,笑死。哪天公司服务器被勒索了,就知道哭了。 人不行怪路不平! |
| 99 lovelynn Feb 25, 2022 1 gitlab 的权限管理很多可以配置的,不开放注册并且没有弱口令的情况下 很难造成类似楼主的这种安全问题。介于楼主阿里云的告警,基本都是基于已经公开的 gitlab 安全漏洞才会告警,这一点就可以证明楼主的 gitlab 并没有升级到最新版本。安全圈里有句话,没有安全的系统。即使像 spring 、log4j 这种使用普及的项目 也依然曾经出现重大安全问题。如果因为安全问题弃用 gitlab ,那你大概率找不到更安全的开源代码管理系统。其次楼上说的 gitlab 不应开放在公网,这点我也是认可的。gitlab 历史上出现的一些模版注入、或者命令注入引起的 RCE ,因其业务复杂 很难保证不出现在其他地方。使用 VPN 也可以防范于未然 |
 | 100 justseemore Feb 25, 2022 @pinkbook 估计服务器被勒索了..还要怪*nix 你让免费用, 还开源.. 让人玩透了,果断换 mac 当服务器, 闭源 有漏洞正常 |
Select Language