叔叔因项目目录内有 .git 目录给出处罚

183 天前
Chappako  Chappako
帮朋友做的项目,放在阿里云

前些天收到吉林东少数民族州叔叔的处罚决定书,执行方式为当场训诫,并要求整改

原因是,项目文件夹中找到了 Git 的元数据目录(Git),攻击者可以通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码

目前已删除项目下 .git 目录,并提交了整改报告

想问一下,其他地方也有这种操作么
16738 次点击
所在节点   问与答  问与答
120 条回复
slowmist
slowmist
183 天前
是的 是一种安全隐患
lxqxqxq
lxqxqxq
183 天前
@coderluan #9 op 没讲清楚 看的云里雾里的
ZZ74
ZZ74
183 天前
@kuaner 我的 v 油 你这错别字也属于于非常严重的低“价”错误
Pdk5a8759cbeD6CH
Pdk5a8759cbeD6CH
183 天前
@proxytoworld 我做自己的项目,写了一个 bug ,jc 也有权利对我进行处罚么
x86
x86
183 天前
隐患,和以前扫.svn 差不多
sentinelK
sentinelK
183 天前
项目目录内有 .git ≠ .git 放在生产环境

楼主,标题党不是这么当的。
weixind
weixind
183 天前
@sentinelK 他这个大概率是把 .git 放生产环境了。
Fca
Fca
183 天前
没看懂,你自己的项目叔叔凭啥管呐?
bzj
bzj
183 天前
问题不是 git 放到生产环境,而是这个目录权限没有配置好
rdZZZ
rdZZZ
183 天前
真他妈闲的蛋疼
Felldeadbird
Felldeadbird
183 天前
挺好的,有人给你做安全检查,还给你通知。
Mrun
Mrun
183 天前
@746970179 #20

要么调用 gitlab 的 API ,下载项目代码压缩包,
要么用 rsync ,同步到生产服务器,过滤掉.git 目录
vvvvvvvv
vvvvvvvv
183 天前
挨罚没毛病,我要是叔叔我也罚你
28Sv0ngQfIE7Yloe
28Sv0ngQfIE7Yloe
183 天前
@746970179

指的是你把.git 也一起部署了,导致可以被扫描到吧。和生产环境有没有 git 没太大关系
xR13zp0h67njQr2S
xR13zp0h67njQr2S
183 天前
@746970179 不是不让同步到服务器,是正式环境出现了 git 文件夹,开发环境随便出现
GG668v26Fd55CP5W
GG668v26Fd55CP5W
183 天前
不用删除,不然依靠 git 更新的项目不方便,nginx 加条规则就行了。

location ~ /\.git {
return 404;
}
aihimmel
aihimmel
183 天前
Chappako
183 天前
首先,感谢各位

项目为个人项目,几乎无访问量

项目代码放在 gitee ,为私有项目,版本库中不含敏感数据

确实是直接 git clone 部署的,但 .git 目录没有暴露在公网

之所以发帖,是想知道个人项目的安全是否需要叔叔来管,以及其他地方是否也有类似操作

最后,各位提到的等保、ISO 、安全方面知识,我会去了解学习的
zero47
183 天前
@Chappako 能在外网访问的,叔叔就能管,不然为什么要你备案云主机
artiga033
183 天前
首先确实是个入门级的安全问题,其次既然是备案的服务器,警方确实就有权利和义务扫漏洞并且要求整改,除非你是放自己家宽 ip 上的才真的叫“个人项目“,但是家宽的话运营商也有权管理

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1066609

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX