思细级恐啊，我们自己搭的 gitlab 的都被黑了！

sampeng

2022-02-25 16:58:00 +08:00

看了 op 的回复。。。完全在自己的世界里啊。。

所有人都在说 gitlab 就是有漏洞，怎么了？你找一个没漏洞的出来，一样有黑客攻击，彩虹表了解一下？旁路攻击了解一下？

反正 op 就是当没看到，就是觉得所有人都不如我，web 应用开源出来就要没有漏洞。我没有给 gitlab 钱，我没有安全团队，我无视任何安全警告，错的不是我，是 gitlab 。。

好心当驴肝肺。。。。

Misaka11037

2022-02-25 16:58:21 +08:00

阿里云又不是没告诉你有漏洞，自己放外网不处理又不肯放内网反而怪 GitLab ，那还是建议自己手写一个到时候没处可赖

byte10

2022-02-25 16:59:26 +08:00

没想到还在倔强，我举个例子给你把，听完你就会变的乖了。

请问你家的保险箱放在你的房间还是你的客厅，还是你的门外？保险箱够安全了吧？请问哪个猪头会把保险箱放在门外的？为啥电视机可以放在客厅？无非是安全级别的和重要性的权衡。既然任何软件应用都会可能存在安全漏洞，为何不把重要的服务放在内网呢？你为何不把保险箱放在客厅呢？为啥不放在门外呢？不是有密码吗，用铁链锁住就可以了，你怕啥？大聪明怕啥？你鞋架为何可以放门外，还不是不值钱？

为啥 gitlab 要放内网？先不说它本身是否安全，即便它非常的安全，没有任何漏洞，那么它是否还能放在外面？你能确保的开发不会设置成弱命令吗？很多企业的内部网站都放在 vpn 内，就是这个最基本的原因，它是一个非常简单的常识。

少年，现在已经不是安全漏洞的问题，问题是这样做，就是一个菜运维，只有大聪明的运维才会这样把 gitlab 放公网的。你听明白了没，不要讨论啥安全漏洞了，没有意义了。

@390547784 nginx 都会有漏洞，你既然白嫖，就得承受它的风险。如果是商用的软件，你可以告他赔钱。但不能你用了它，又继续骂他不负责，它只有义务，没有责任。你要是商用，那么它就有责任。
@duke807 vpn 搭建很多教程的，docker 容器启动就可以了，从学习到使用半天搞定。不行就不行，烂就是烂，没有 vpn 不是借口，再或者防火墙挂几个 ip 白名单都是 1 分钟的事情。但是大聪明就是天生基因就是蠢，思维方式极其低级，所以难搞哦。
@390547784 gitlab 有啥问题？它有义务，没有责任，因为是白嫖的。如果是商用的，那么它就有责任，它有责任告诉你，并且把升级方案告诉你。

@heipipi 白子画说的，对就是对，错就是错，我以前错了也认，你错了也要听话认了好吧。你再这样下去会很危险的，如果你某天觉悟之后，再回头看这个帖子就会社死的。当然很多人一辈子也不会开悟，我是希望你要开悟。gitlab 没有过错，你不能指望别人 100%给做出安全的软件应用，这么重要的应用服务，你要自己保护起来。

ncepuzs

2022-02-25 16:59:37 +08:00

「 github 账户被删事件」与「 gitlab 公网被黑事件」构成了今天的两大笑谈

dolphintwo

2022-02-25 17:00:42 +08:00

一个知识越贫乏的人，越是拥有一种莫名奇怪的勇气和自豪感，因为知识越贫乏，你所相信的东西就越绝对，你根本没有听过与此相对立的观点。——罗翔

sampeng

2022-02-25 17:03:20 +08:00

在啰嗦一句。。可能有其他人看到。
内网服务不要扔到外网来。不要图方便。除非你公司有专业的安全团队，专业的运维团队。有人专门盯着是不是被黑了，是不是有漏洞，不需要升级等等。如果这些都没有。vpn 或者 ip 白名单是最没负担，也是最简单的安全措施。

没有几家公司会去审核开源产品代码的，你用什么都是死。毁灭吧。赶紧的

zhaol

2022-02-25 17:04:50 +08:00

有没有一种可能就是，gitlab 本身确实没问题，而是你们自建的服务 admin 账户被别人黑了？

weixd96

2022-02-25 17:04:54 +08:00

在逃公主？

lonelymarried

2022-02-25 17:05:59 +08:00

叫我怎么黑

hez2010

2022-02-25 17:07:54 +08:00

试试 Azure DevOps Server：
https://azure.microsoft.com/en-us/services/devops/server/

crab

2022-02-25 17:10:44 +08:00

建议搜索下 0day

issaclam

2022-02-25 17:18:31 +08:00

`公司要求弃用`
说明决策层和 OP 的想法是一致的。
OP 的诉求应该是：我们没有运维 + 免费 + 黑客永远不知道的小众仓管 = 一劳永逸。
希望各位不要不识抬举，只要方案，不要 BB 。

duke807

2022-02-25 17:50:23 +08:00

@byte10
和第三方甲方爸爸協作開發，你也讓對方安裝 VPN ？
給對方 ip 白名單？對方要移動辦公呢？

我服務器最頂級保密的數據，是通過 aes256 加密的，ssh-fs 掛載到我本地，on-the-fly 解密到本地目錄

你應該是做安全方面的吧？把安全說這麼嚴重可以理解，畢竟是利益相關

zhw2590582

2022-02-25 18:01:39 +08:00

楼主你可以接受大家的善意的建议，大家也会乐意给你出谋划策，但你偏偏选择了气急败坏...

mmrx

2022-02-25 18:46:00 +08:00

好秀啊

ryh

2022-02-25 18:47:53 +08:00

没有漏洞的多半是 c 版本的 hello world 😂

我上次遇到 gitlab 被坑是乙方把代码穿到 git 服务器上，结果是公网都能访问 repo 。
并且他们把支付宝的 rsa 私钥都给放在 repo 里，wtf ？

我说这个事就是想说使用开源第三方软件怎么配置是你自己的事，有 bug 就更新或者自己补然后 pr 。
有 bug 很正常，但不会用还要怪别人就是莫名其妙了。

fanchenio

2022-02-25 19:04:43 +08:00

照你这么说 windows 、macOS 、linux 也都别用了，他们也会有安全漏洞，而且现在一直都有，也一直在修补。

你也是程序员那么你应该知道这世上没有绝对安全的系统 /软件吧？只有相对安全的，比如你在外面加了各种安全组件来保护你的系统 /软件，就算这也算不上绝对安全。

mns

2022-02-25 19:08:14 +08:00

哈哈哈

bearqq

2022-02-25 19:13:28 +08:00

长话短说，建议转行+1

f165af34d4830eeb

2022-02-25 19:44:40 +08:00

怎么看都像是钓鱼的