思细级恐啊，我们自己搭的 gitlab 的都被黑了！

2022-02-24 20:48:00 +08:00

heipipi

情况是这样的，我们公司一直用 gitlab ，搭建在阿里云服务器上，作为公司内部开发代码仓库。但是一直以来，阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞，被扫描被攻击，但是我们一直也没当回事儿，觉得应该不至于出问题。

直到今天上午，我们发现在提交代码的时候冲突，就觉得奇怪，然后就上 gitlab 看了一眼，发现被人从 gitlab 的 web 端登录，并将恶意代码提交到了我们的仓库中。。。

顿时吓出一身冷汗啊！绝绝子！

上网搜了一下才知道，gitlab 因为名气太大，已经被黑客研究透了，所以其实很不安全。公司今天已经要求弃用了。

各位老哥，请问有没有能替代 gitlab 的项目，最好也是开源免费的，功能不用太多，够用就行，名气最好别太大。我们已经不敢再用 gitlab 了。

29563 次点击

所在节点

GitLab

247 条回复

wengych

2022-02-25 16:10:47 +08:00

建议水深火热

est

2022-02-25 16:11:54 +08:00

不是我说 LZ 啊。你换一个小众的，被搞了阿里云都不会报警，代码也很难发现被改了。

安全措施是加防，选小众的是加闪避；

补漏洞是叠甲，选小众是叠迷彩

两者都很重要，但是 LZ 你偏执只看重一方面，就是自寻死路。

weichengwu

2022-02-25 16:13:55 +08:00

不会玩就别玩，老老实实用 U 盘拷贝代码，保证安全

duke807

2022-02-25 16:18:15 +08:00

@privil VPN 麻煩啊，有幾個公司有安全團隊？我認為 99% 的公司都沒有

有的時候，某些 git 庫還要和第三方公司協作，要讓第三方公司也能方便訪問的

說 linux 也有漏洞的，我承認，但是常見的都是本地提權，不安裝亂七八糟的軟件，想從外部攻入 linux 系統，門都沒有

我不是搞安全的，我的服務器就 ssh 安裝了一個 sshguard ，平時登陸用證書，密碼登陸也有保留，非常複雜的密碼

然後是 apache 和 matrix 有直接對外，還經過了 cloudflare cdn ，網站服務器後台除了自己寫的 python cgi 腳本，其它都是靜態，不用複雜的框架

ThirdFlame

2022-02-25 16:21:32 +08:00

黑客使用 web 登录的，敢问 OP 账号、密码是黑客从 gitlab 买来的么？账号密码的问题不该问问贵公司自己的？

musi

2022-02-25 16:26:06 +08:00

抛开放不放内网不谈
阿里云都提醒你有漏洞了为啥不修(能被 WAF 扫出来的一般都能修复了)
你这像极了扁鹊与蔡恒公
要不下次你忽略医生的警告试试？

triangle111

2022-02-25 16:26:47 +08:00

自己有能力就开发，用别人的开源又喷别人不安全。六字真言了

habrade

2022-02-25 16:30:01 +08:00

看起来楼主和大部分人不在一个频道上。
大家目前不是想说 gitlab 没问题，而且从你描述来看，基本的措施都没做好，显得很不专业。
和一个小学生谈乌俄问题，就没有基础和必要。

iyaozhen

2022-02-25 16:30:07 +08:00

楼主这看待问题的思路和解决方案都一言难尽

这反而说明 web 安全任重道远

devwolf

2022-02-25 16:34:40 +08:00

@guaguaguaxia1 大兄弟，仙人指路一下，我也要看看

camus

2022-02-25 16:35:09 +08:00

1. WAF 都告警了还不放在心上，那着实有点心大，不管你执行的安全基线有多严格，只要人足够懒，任何安全事故都有可能发生。
2. gitlab 当然可以放公网，但是需要时刻关注是否有针对 gitlab 的安全漏洞和攻击，及时备份和升级 gitlab 版本。

3. 对于基础设施 /系统的安全补丁和升级是必须也必要的，不要迷信有些老法师所谓只要系统还能跑就不要打补丁 /升级。脱离主流安全更新的系统被攻击后遭受的损失远大于主动升级补丁带来的“阵痛”。（ docker 打包了解一下）

gps949

2022-02-25 16:36:32 +08:00

真暴躁，劝不动，祝以后不管用啥都被漏洞坑。
已 b

duke807

2022-02-25 16:42:41 +08:00

補充一下，感覺 op 遇到的不是漏洞，而是自己弱密碼被猜到。

LnTrx

2022-02-25 16:45:35 +08:00

把服务放在封闭的内网是一种牺牲便捷性、比较偷懒的方法。但之所以这么多人推荐，正是因为其简单、有用，可以避免 IPv4 最普遍的暴力端口扫描等风险。
Gitlab 的设计初衷肯定是面向公网的。但既然面向公网，维护者就要做好相应的安全措施，而不是明知存在隐患还有侥幸心理。
权益和义务是对等的。开源免费的大型项目能及时修复无心之失的漏洞，对免费的使用者而言就已经尽到了义务。
选用小众的项目，安全性未必提升，可能反而下降。

dolphintwo

2022-02-25 16:47:44 +08:00

我就说有没有一种可能，I is fish

HardStone

2022-02-25 16:49:51 +08:00

👆"加入收藏"

exploreexe

2022-02-25 16:52:45 +08:00

就 LZ 这种安全意识，还是别用 gitlab 了，也别自建了，你们这安全意识还得被黑。
网友让你放内网和外网隔离怎么了？好心当了驴肝肺

labulaka521

2022-02-25 16:54:31 +08:00

建议你和 @sam01101 凑成一对简直俩奇葩哈哈

clf

2022-02-25 16:55:26 +08:00

我司 gitlab-ee 一直公网可以访问，而且每天都会更新到最新版本。

哦对，ee 好像不是开源的，那没事了。

newmlp

2022-02-25 16:57:16 +08:00

送你俩字：傻逼

第 9 页／共 13 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/836253

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.