思细级恐啊,我们自己搭的 gitlab 的都被黑了!

2022-02-24 20:48:00 +08:00
 heipipi

情况是这样的,我们公司一直用 gitlab ,搭建在阿里云服务器上,作为公司内部开发代码仓库。但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题。

直到今天上午,我们发现在提交代码的时候冲突,就觉得奇怪,然后就上 gitlab 看了一眼,发现被人从 gitlab 的 web 端登录,并将恶意代码提交到了我们的仓库中。。。

顿时吓出一身冷汗啊!绝绝子!

上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。

各位老哥,请问有没有能替代 gitlab 的项目,最好也是开源免费的,功能不用太多,够用就行,名气最好别太大。我们已经不敢再用 gitlab 了。

29566 次点击
所在节点    GitLab
247 条回复
f165af34d4830eeb
2022-02-25 19:45:16 +08:00
eason1874
2022-02-25 19:45:26 +08:00
@heipipi #156

把 GitLab 暴露到公网:需要实时关注操作系统和 GitLab 的漏洞并及时打补丁,被黑客抢先一步就会被黑。如果其他内部应用比如 BBS 、WIKI 也暴露到公网,那工作量成倍增长,风险也成倍增长

内网隔离通过 VPN 访问:只需要关注跳板机操作系统和 VPN 软件的漏洞,无论内部多少个 GitLab 、BBS 、WIKI 都不会增加额外的工作量和额外的风险,你也不需要跟黑客抢时间打补丁

而你们的做法是:暴露到公网但又不积极关注和修复漏洞,既要方便又要安全,哪有这种好事?

“5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?”

我可以 100%确定你没有及时升级,因为阿里云的漏洞提示是滞后的,你们收到阿里云这么多提示,就足以说明你们比阿里云还要慢
WispZhan
2022-02-25 19:50:04 +08:00
今日份的快乐 +1
Lentin
2022-02-25 19:51:48 +08:00
楼主不会是 PM 职位吧?是搞技术开发的吗?
darknoll
2022-02-25 19:57:51 +08:00
既然部署到公网了,为何不直接用 gitee?
jessun1990
2022-02-25 20:13:39 +08:00
这个世界上没有『绝对安全的系统』,因此,我还是赞成公司产品源代码采用内网部署。
最好还是物理上与公网隔离。
YaakovZiv
2022-02-25 20:28:18 +08:00
看了楼主的描述,感到有些疑惑,代码同步到 gitlab 所在服务器,并在该服务器发布服务,那得挺多安全手段才能处理。
如果是仅代码同步到 gitlab ,最省事就是阿里云的防火墙策略添加提交代码的机器的 IP ,代码提交结束就停用 IP 放行。
BigDogWang
2022-02-25 20:30:06 +08:00
楼主太可爱了,帖子里杠精太多了,楼主加油!🐶
deplivesb
2022-02-25 20:59:21 +08:00
有一说一就 「但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题」 OP 还好意思 append 解释。也不知道 OP 自以为是是个什么东西呢
deplivesb
2022-02-25 21:01:19 +08:00
10 个小时前你说「 5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?」
你现在敢不敢截图看你现在 gitlab 版本和启动时长
zhattty
2022-02-25 21:18:56 +08:00
美国队长的盾牌在楼主的嘴面前也要甘拜下风
wanguorui123
2022-02-25 22:13:21 +08:00
幸存者偏差
lupus721
2022-02-25 23:26:37 +08:00
当能看到拦截信息的时候很可能已经晚了,因为真正厉害的攻击,防御是看不到的。

有漏洞立刻就打补丁,配置好各种防护策略,证书,acl 能上的都上了,也只能保证你被黑的可能降到最低,永无没有人能给你 100%的包票。

代码类的东西确实放在内网更安全一丢丢。
GeruzoniAnsasu
2022-02-25 23:38:00 +08:00
看到 OP append 的这些言论
我一下就想到了「我穿得少就活该被强奸?」

有些人吧,你让他「注意安全,晚上别单独出门」
他给你来一句「明明是社会有问题凭什么要我自己注意」


此处应有《啊对对对》: https://www.bilibili.com/video/BV1f44y1v77g
calmzhu
2022-02-25 23:58:46 +08:00
用记事本吧,git 配不上你们
iseki
2022-02-26 02:22:22 +08:00
Gitlab 有说过这个软件零运维部署是可以的吗
ZRS
2022-02-26 02:46:55 +08:00
嘴比那啥硬
trn4
2022-02-26 03:58:23 +08:00
@ryh #196 C 版本的 Hello world 要经过 gcc/clang 编译,链接 glibc ( linux )和 call syscall ,一样会引入漏洞。
Y29tL2gwd2Fy
2022-02-26 06:27:33 +08:00
现在没脑子的人也能做工程师了?
什么时候这个行业变成这样了?
Perry
2022-02-26 06:40:50 +08:00
楼主不仅仅对网络安全了解甚少,还非常喜欢推卸责任。自己用开源产品被黑了,就一定只能怪开源产品安全没做好。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/836253

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX