这是一个创建于 1324 天前的主题,其中的信息可能已经有所发展或是发生改变。
情况是这样的,我们公司一直用 gitlab ,搭建在阿里云服务器上,作为公司内部开发代码仓库。但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题。
直到今天上午,我们发现在提交代码的时候冲突,就得奇怪,然后就上 gitlab 看了一眼,发现被人从 gitlab 的 web 端登录,并将恶意代码提交到了我们的仓库中。。。
顿时吓出一身冷汗啊!绝绝子!
上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。
各位老哥,请问有没有能替代 gitlab 的项目,最好也是开源免费的,功能不用太多,够用就行,名气最好别太大。我们已经不敢再用 gitlab 了。
第 1 条附言 2022-02-25 10:54:46 +08:00
一堆人还跟我抗。我就想问一下:
1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾?
2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当?
3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西?
4. 如果 gitlab 本身足够安全,放公网又如何?
1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾?
2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当?
3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西?
4. 如果 gitlab 本身足够安全,放公网又如何?
第 2 条附言 2022-02-25 10:58:03 +08:00
5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?
第 3 条附言 2022-02-25 15:52:23 +08:00
你们针对内网说事儿的,真的是跪的太多,站不起来了吧?什么时候一款 web 应用,只能用内网物理隔离的办法才能安全使用,居然还被认为是理所应当?还认为这毫无问题?我也是见识了!
第 4 条附言 2022-02-25 16:09:13 +08:00
有些人完全避而不谈 gitlab 本身的安全漏洞,反而告诉我应该用最粗暴最简单的的内网物理隔离才能用使用。如果 web 应用程序都做成这样,那请问还要 web 安全何用?
 | 1 Jooooooooo 2022-02-24 20:49:15 +08:00  50 ? "阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞" 然后真的被攻击了 表现很惊讶 ? |
 | 2 tomczhen 2022-02-24 20:54:28 +08:00 via Android 1 当然是选择自研了。 只要不公开代码,就没黑客知道有漏洞 :doge: |
 | 3 yhxx 2022-02-24 20:54:45 +08:00 34 首先为啥你们的 gitlab 公网能访问? 然后时不时的被提醒还不当回事,出事了觉得人家不安全? |
 | 4 heipipi OP |
 | 5 swsh007 2022-02-24 20:55:52 +08:00 via Android 都内部了 为啥用公网放代码 |
 | 6 opengps 2022-02-24 20:56:29 +08:00 安全防御稍微多点就足够了,不用替换掉 |
 | 7 illl 2022-02-24 20:57:36 +08:00 via iPhone 去年出了个 rce 漏洞的嘛,及时更新问题就不大 |
 | 8 jim9606 2022-02-24 20:58:54 +08:00 你有本事自研就来吧,看你老板愿意给你分多少经费人力时间吧,搞成了你就是公司骨干了。 |
 | 9 ysjiang4869 2022-02-24 20:58:57 +08:00 via Android 2 及时更新升级,限制访问 IP 等都行啊。别因噎废食啊 |
 | 10 icy37785 2022-02-24 20:59:14 +08:00 via iPhone 41 不能理解,都提示有安全漏洞,说明是已知漏洞,已知漏洞一般版本更新都会修复,有更新补丁之前至少也会有临时解决方案。 自己不当回事然后现在很吃惊的样子,我理解不了。 然后怪人家名气大,要找名气没那么大的项目。这个脑回路我更理解不了。 没有任何代码是没有漏洞的,名气大一般发现漏洞后被修复快,没什么人用的项目,有漏洞正在被人利用可能你都不知道。 gitlab 至少阿里云都在提你了。 |
 | 11 arischow 2022-02-24 21:02:38 +08:00 23 没这水平就直接去买服务 |
 | 12 skiy 2022-02-24 21:05:36 +08:00 只用代码仓库? gitea/gogs 可以。也可以用 V 友开发的 onedev 。另外,GitLab 可以用 docker 布署吧?升级也挺方便啊。 |
 | 13 xiangyuecn 2022-02-24 21:06:48 +08:00 暴露公网,被人多捅几下也没什么毛病吧 |
 | 14 dzdh 2022-02-24 21:10:15 +08:00 31 一个人跟我说他有新冠。我没理他,没想到我居然也阳了。 |
 | 15 0o0O0o0O0o 2022-02-24 21:21:38 +08:00 > 上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全 你得关注更新啊 |
 | 16 jousca 2022-02-24 21:29:18 +08:00 1 阿里云都发现漏洞了,你不升级修补,翻车了怪人家 gitlab 你们公司的运维都是挂职的么…… |
 | 17 felixcode 2022-02-24 21:58:20 +08:00 via Android 1 这种放公网的自建服务就得有运维工作,至少得有补丁升级和安全防护。 如果都没有,无视 waf 报警,还吓出一身冷汗,那只能说这些危险都在你们的预知范围外,更不用提怎么防范了,用什么搭建都白搭。 没被收取天价账单费用就不错了,纯属幸运。 |
 | 18 kingfalse 2022-02-24 22:00:21 +08:00 via Android gitlab 内网部署,不开放公网这不是基本常识吗。。。 |
 | 19 Senorsen 2022-02-24 22:12:40 +08:00 不管你们用啥,暴露到公网+不及时更新,都会被黑的。。 |
 | 20 Osk 2022-02-24 22:23:36 +08:00 就算自己开发, 也不能保证没有漏洞吧, 你引入的每一个第三方库 /框架等都会成为风险来源. 放公网必须得有人负责维护, 关注升级, 安装更新等等. 不然就算你们用 ssh 来做 git 后端也一样被黑. |
 | 21 yangzzzzzz 2022-02-24 22:27:04 +08:00 局域网 |
 | 22 0ZXYDDu796nVCFxq 2022-02-24 22:45:05 +08:00 10 贵司居然这样还被黑,我们才思细级恐 请问贵司是做什么的,说出来让我们避避坑,2B 2C 都不敢用你们的东西啊 |
 | 23 potatowish 2022-02-24 23:13:17 +08:00 via iPhone 常识都知道部在内网 |
 | 24 villivateur 2022-02-24 23:14:58 +08:00 via Android 细思极恐啊,我的 Windows 服务器,密码设成 123456 ,居然被黑了 |
 | 25 jpyl0423 2022-02-24 23:17:23 +08:00 公网直接开放,真的牛批,防火墙都没有吗 |
 | 26 mogita 2022-02-24 23:19:57 +08:00 简直一桩事先宣扬的谋杀案。OP 这公司的安全意识基本就是生怕缺少受害者给杀手造成困扰。瑞斯拜。 |
 | 27 ZeoKarl 2022-02-24 23:25:18 +08:00 via iPhone 都提示你有漏洞了,为什么不更新。留着漏洞等着过年来个透心凉嘛 |
 | 28 eason1874 2022-02-24 23:57:35 +08:00 4 绝绝子,离谱到甚至分不清是真傻还是反串.jpg 没有系统可以避免漏洞,发现漏洞只是迟早的问题,打补丁是必须的。就算内网隔离,跳板机的操作系统依赖程序也有可能出现 Heartbleed bug 这类漏洞 你要想有一个不打补丁也不会被黑的系统,那电脑别联网 |
 | 29 duke807 2022-02-25 00:04:14 +08:00 via Android 我司用的是在境外 vps 上架的 gerrit 做部使用,web 是 apache 的用密登,至少用了超 5 年,出事 公可以更方便啊,怪公能的人本末倒置了吧 |
 | 30 leeg810312 2022-02-25 00:15:32 +08:00 via Android 既然公网,为什么不用 saas ?自己搭建又不维护,这是什么思路?其他系统不会有漏洞? |
 | 32 SP00F 2022-02-25 02:09:57 +08:00 Windows 名气也大,也有漏洞,要不也弃用了吧。。 有漏洞的时候不更新不修复,要换其他开源的还是不更新不修复同样等着被日。最好还是花钱买服务吧 |
 | 33 msg7086 2022-02-25 03:03:30 +08:00 ermmm 挺少见到这种发帖找骂的帖子的…… |
 | 34 Nnq 2022-02-25 06:08:46 +08:00 你们不是云服务的 gitlab 你不老实的放内网 你还想用阿里云做个 public cooud 版本不成? |
 | 36 levinit 2022-02-25 07:53:46 +08:00 via iPhone 云上配 opevpn ,自己连 vpn 才能访问,是起码的吧,这就解决了 99%的问题 |
 | 37 irainsoft 2022-02-25 08:47:57 +08:00 你们这样的安全态度,用什么软件都是被黑 |
 | 38 Davic1 2022-02-25 08:53:49 +08:00 1 "上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。" 看到这我呆住了... |
 | 39 icewent 2022-02-25 08:54:44 +08:00 "思细级恐",这个词到底有多少种拼法? |
40 murmur 2022-02-25 09:04:11 +08:00 侧面说明是不是说阿里的漏洞扫描还是挺靠谱的 |
 | 41 mangoDB 2022-02-25 09:04:35 +08:00 简直就是公网裸奔。 |
 | 42 xuyang2 2022-02-25 09:12:28 +08:00 ____ 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。 |
 | 43 NotFoundEgg 2022-02-25 09:17:16 +08:00 1 gitlab 部署在内网,用企业 vpn 访问 |
 | 44 HardStone 2022-02-25 09:21:28 +08:00 |
 | 45 ThirdFlame 2022-02-25 09:28:54 +08:00 任何软件都可能有漏洞。gitlab 有漏洞,阿里云拦截下,下一步正确的操作不是“无视告警” 而是尽快按照 gitlab 给的补丁进行升级。 有漏洞不升级,出问题了,说“上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。”。 那你不管你用啥都不会安全的。 现在正确的操作时,打上补丁,做好访问控制。而不是去找替代 gitlab 的项目 |
 | 46 66beta 2022-02-25 09:32:57 +08:00 等一下,为什么公司 gitlab 可以被公网访问? |
 | 47 chenmobuys 2022-02-25 09:33:02 +08:00 啥软件没有漏洞,说的愣住了,这是程序员能说出的话。。。 |
 | 48 Felldeadbird 2022-02-25 09:37:43 +08:00 gitlab 应该丢内网服务器啊。丢阿里云你们不嫌弃 速度慢吗? 实在要丢公网,搞一个安全策略,只能指定 IP 访问。 |
 | 49 andy2415 2022-02-25 09:42:36 +08:00 我不李姐 |
 | 50 aitaii 2022-02-25 09:44:15 +08:00 |
 | 51 ScotGu 2022-02-25 09:44:42 +08:00 就这?你就承认这是阿里云 waf 的推广帖吧。 如果不是,那我真担心贵司走路崴脚后会不会锯腿。 |
 | 52 devwolf 2022-02-25 09:53:45 +08:00 方方面面让我大为震撼 |
 | 53 tcfenix 2022-02-25 10:00:15 +08:00 5 请务必告知你们公司的名称或者产品, 这样大家以后能绕着走 |
 | 54 pkoukk 2022-02-25 10:01:16 +08:00 我们纯内网环境的 gitlab 都 1-2 个月更新一次.... 你放外网还不更新真的心大 |
 | 55 g0thic 2022-02-25 10:06:42 +08:00 这水平怎么知道用 gitlab 的 |
 | 56 Greenm 2022-02-25 10:06:59 +08:00 10 言论太过于弱智以致于没人喷“绝绝子” |
 | 57 lakehylia 2022-02-25 10:10:07 +08:00 OA 和公司资源最好都是放在公司内网防火墙后面,访问公司资源就连 vpn 啊,这不是成熟的方案了么? |
 | 58 yvescheung 2022-02-25 10:14:27 +08:00 防火墙不会搞? IP 白名单不会添加?? |
 | 59 shiguiyou 2022-02-25 10:15:18 +08:00 楼主被你们说的自闭了... 小知识:大公司的代码库都要连接 vpn 才能从外网 pull/push 代码 |
 | 60 Bluecoda 2022-02-25 10:15:37 +08:00 gitlab 是什么版本?你更新了吗? 为什么提示有漏洞不修? windows/linux 自己都有漏洞,你这样要求一个 gitlab 是不是有点过分? |
 | 61 ChasLui 2022-02-25 10:19:01 +08:00 曾经见到过中科大的 gitlab 公然暴露外网,而且还能注册 |
 | 62 mhycy 2022-02-25 10:20:53 +08:00 1 水平烂得想骂人 运维水平垃圾,整体网络架构烂,制度没定没落实,就别怪人家软件有漏洞,阿里都在用 gitlab 这么简单下一个自研决定,言下之意是什么?对系统复杂度没任何预估 这已经直接反应技术水了 |
 | 63 eurry 2022-02-25 10:24:01 +08:00 我知道的有个 https://gogs.io/ |
 | 64 jr55475f112iz2tu 2022-02-25 10:24:23 +08:00 @shiguiyou 我觉得按照 OP 主贴语言风格反应出来的性格,不会反思不会自闭的 |
 | 65 ww2000e 2022-02-25 10:30:39 +08:00 开源的东西直接放公网肯定不行 |
 | 66 efaun 2022-02-25 10:32:17 +08:00 每日一蚌 |
 | 67 usedname 2022-02-25 10:35:14 +08:00 这不叫细思极恐,应该叫脑子有泡 |
 | 68 chenstor 2022-02-25 10:37:20 +08:00 1 、内部代码库居然允许公网访问,是优秀了点 2 、阿里云都提示漏洞居然长期不理会,也很优秀 3 、找所谓的名气小,就安全了? |
 | 69 Torpedo 2022-02-25 10:48:06 +08:00 内外分离就行了。要不就买个谁家的服务 |
 | 70 GOURIDE 2022-02-25 10:48:09 +08:00 之前不是有人分享过自己团队写的 git 管理平台么 |
 | 71 heipipi OP 1 一堆人还跟我抗。我就想问一下: 1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾? 2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当? 3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西? 4. 如果 gitlab 本身足够安全,放公网又如何? |
| 72 heipipi OP 5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜? |
 | 73 labulaka521 2022-02-25 10:58:53 +08:00 1 你给 gitlab 钱了吗 什么公司说出来让大家乐呵乐呵 |
 | 74 godmiracle 2022-02-25 10:59:30 +08:00 提示你漏洞 你还不更新修复漏洞 不是自找的? |
 | 75 encro 2022-02-25 11:01:14 +08:00 阿里云 codeup 随便,腾讯 coding |
 | 76 ncepuzs 2022-02-25 11:03:15 +08:00 看了楼主的附言,只觉牛逼哄哄,但不知为何忍不住发笑 |
 | 77 xFrye 2022-02-25 11:05:51 +08:00 啊这,gitlab 公网能直接访问这什么操作,这不是在公司内网部署的仓库?为什么 web 应用就一定得要放互联网啊,这前后有必然的联系吗? |
 | 78 ishengge 2022-02-25 11:06:52 +08:00 想笑了。啊哈哈 |
 | 79 shyling 2022-02-25 11:07:08 +08:00 反串表演吗。。。有点绷不住 |
 | 80 ExplorerLog 2022-02-25 11:07:57 +08:00 gitlab 说 update asap ,你没当回事,你说 gitlab 有问题 杀毒软件让你更新病毒库,你不更新,中毒了,你说杀毒软件不行 |
 | 81 Tokin 2022-02-25 11:10:41 +08:00 大开眼界 |
 | 82 tcpdump 2022-02-25 11:11:50 +08:00 附言牛逼,我突然想明白了,理解万岁 |
 | 83 pandaaa 2022-02-25 11:12:43 +08:00 今日笑谈哈哈 |
| 84 HardStone 2022-02-25 11:13:36 +08:00 4 @heipipi #71 (翻译翻译) 1. 钱不就是拿出去外面花嘛, 为什么不能直接把银行卡放在大街上 2. 银行卡被盗用了, 你们就一股脑说我的密码设置简单, 银行卡就毫无问题? 银行为什么不验证是不是我本人不是理所应当? 3. 银行本身也没说银行卡必须放在家里 4. 如果银行验证程序足够全面, 放在门口 /大街 /公厕又如何 5. 有些人张口就说让我放好设置复杂密码, 请问您知道我放在哪里? 密码是什么? 您是会算还是会猜 |
 | 85 guaguaguaxia1 2022-02-25 11:14:00 +08:00 gitlab 公网能访问,就知道楼主什么水平了 |
| 86 heipipi OP @guaguaguaxia1 按你的逻辑,gitlab 放在公网就是水平底下。那么 gitlab.com 也在公网访问,那么 gitlab 官方是什么水平? |
 | 89 lovelynn 2022-02-25 11:18:00 +08:00 1 回答一下楼主升级的回答,如果你已经是最高的 gitlab 版本,依然在黑客没有可用账号密码的情况下 gitlab 被黑,那么恭喜你 你可能捕获了一个 0day 这可是很值钱的~ |
 | 90 so1n 2022-02-25 11:18:51 +08:00 这个可以公网访问 gitlab 仓库的操作真的牛逼了..... |
 | 91 superchijinpeng 2022-02-25 11:19:11 +08:00 2 神操作,既然都放公网了,为什么不直接用 gitlab.com ,还能省去运维成本,笑 |
 | 92 wangyzj 2022-02-25 11:19:27 +08:00 如果代码库很重要就不要放在公网,至少要过一层 vpn gitlab 更新频率很高,更新了一般不会有这种问题 so |
| 93 ncepuzs 2022-02-25 11:19:54 +08:00 @ChasLui #61 这个原本就是计划对外提供服务的,后来才转向仅限校内用户注册。公网访问没啥啊,安全措施到位,运维团队(科大 Linux 用户协会,提供的其他公共服务包括科大镜像站等)给力就行。 |
 | 94 nullboy 2022-02-25 11:20:06 +08:00 附言牛逼,po 主脑回路清奇 |
| 95 so1n 2022-02-25 11:21:18 +08:00 @heipipi 不是。。。。别人说的是代码仓 你说的是官网 如果你不是运维你这样说还可以 如果你是运维 这样说就是安全意识薄弱了 任何东西放在公网都会被攻击,最低成本的解决办法就是放内网,然后用内部网络 /公司 VPN 访问,不然就需要人力去维护 |
| 96 HardStone 2022-02-25 11:23:21 +08:00 @heipipi #88 只是想说, 什么事情都有两面, 享受好处的同时尽量避免坏处, 一味寻找"下一个"只会没有尽头 其他大佬们说的问题我也不是完全赞同, 因为我们公司也是公网访问 但是我们公司有很多层验证, 邮箱 /2FA, 出现问题的时候也会停机维护及时更新 /修复 |
 | 97 iamdaguduizhang 2022-02-25 11:25:00 +08:00 1 “你的东西都给我公开免费用了,怎么能有问题哪,你真是个王八蛋!!!” |
 | 98 pinkbook 2022-02-25 11:25:43 +08:00 1 看了附言,噗~~,充分体现了 lz 的自大和无知。以及不思进取。 建议说出公司及产品名字,大家避雷。 楼上说的很清楚了,没有任何一个程序是完全无漏洞的(即使现在没有,以后也会有),连 log4j 都能都大的 bug ,难道大家都不用了??? 看来你们公司根本没有专业的安全团队,笑死。哪天公司服务器被勒索了,就知道哭了。 人不行怪路不平! |
| 99 lovelynn 2022-02-25 11:26:11 +08:00 1 gitlab 的权限管理很多可以配置的,不开放注册并且没有弱口令的情况下 很难造成类似楼主的这种安全问题。介于楼主阿里云的告警,基本都是基于已经公开的 gitlab 安全漏洞才会告警,这一点就可以证明楼主的 gitlab 并没有升级到最新版本。安全圈里有句话,没有安全的系统。即使像 spring 、log4j 这种使用普及的项目 也依然曾经出现重大安全问题。如果因为安全问题弃用 gitlab ,那你大概率找不到更安全的开源代码管理系统。其次楼上说的 gitlab 不应开放在公网,这点我也是认可的。gitlab 历史上出现的一些模版注入、或者命令注入引起的 RCE ,因其业务复杂 很难保证不出现在其他地方。使用 VPN 也可以防范于未然 |
 | 100 justseemore 2022-02-25 11:30:33 +08:00 @pinkbook 估计服务器被勒索了..还要怪*nix 你让免费用, 还开源.. 让人玩透了,果断换 mac 当服务器, 闭源 有漏洞正常 |
Select Language