叔叔因项目目录内有 .git 目录给出处罚

帮朋友做的项目，放在阿里云

前些天收到吉林东少数民族州叔叔的处罚决定书，执行方式为当场训诫，并要求整改

原因是，项目文件夹中找到了 Git 的元数据目录(Git)，攻击者可以通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码

目前已删除项目下 .git 目录，并提交了整改报告

想问一下，其他地方也有这种操作么

ZZ74

29 天前

@kuaner 我的 v 油你这错别字也属于于非常严重的低“价”错误

dylanqqt

29 天前

@proxytoworld 我做自己的项目，写了一个 bug ，jc 也有权利对我进行处罚么

sentinelK

29 天前

项目目录内有 .git ≠ .git 放在生产环境

楼主，标题党不是这么当的。

bzj

29 天前

问题不是 git 放到生产环境，而是这个目录权限没有配置好

Mrun

29 天前

@746970179 #20

要么调用 gitlab 的 API ，下载项目代码压缩包，
要么用 rsync ，同步到生产服务器，过滤掉.git 目录

28Sv0ngQfIE7Yloe

29 天前

@746970179

指的是你把.git 也一起部署了，导致可以被扫描到吧。和生产环境有没有 git 没太大关系

78786381

29 天前

@746970179 不是不让同步到服务器，是正式环境出现了 git 文件夹，开发环境随便出现

falcon05

29 天前

不用删除，不然依靠 git 更新的项目不方便，nginx 加条规则就行了。

location ~ /\.git {
return 404;
}

Chappako

29 天前

首先，感谢各位

项目为个人项目，几乎无访问量

项目代码放在 gitee ，为私有项目，版本库中不含敏感数据

确实是直接 git clone 部署的，但 .git 目录没有暴露在公网

之所以发帖，是想知道个人项目的安全是否需要叔叔来管，以及其他地方是否也有类似操作

最后，各位提到的等保、ISO 、安全方面知识，我会去了解学习的

zero47

29 天前

@Chappako 能在外网访问的，叔叔就能管，不然为什么要你备案云主机

artiga033

29 天前

首先确实是个入门级的安全问题，其次既然是备案的服务器，警方确实就有权利和义务扫漏洞并且要求整改，除非你是放自己家宽 ip 上的才真的叫“个人项目“，但是家宽的话运营商也有权管理

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1066609

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.