叔叔因项目目录内有 .git 目录给出处罚

很正常，.git 就不应该带出去，代码要是被人找到了逻辑 bug 被黑产搞了

确认一下是否确实没暴露在公网，内网有.git 太正常了，是有一些组织会扫描暴露的危险内容从而发邮件提醒整改，基本上都是一个受欢迎的状态

楼主 1 楼描述的不够清楚，但根据楼主 38 楼的补充，可以猜测一下楼主的部署方式：

项目文件夹直接 git clone 起手 trigger 项目更新，然后 build 项目。nginx 类似的服务 service 配置指向了项目 build 后的位置。（这种部署方式当然不是 best practice ）

叔叔的警告操作非常离谱，半瓶水在那鸡毛当令箭呢。（阿里云默认的各种镜像有全盘扫描的特色进程。我猜测是扫到有.git 就会上报，然后根据备案归属地开放给当地的叔叔。）生财之道 +1 ，日常移民广告 +1

楼主信息没说清楚呀，不知道是有意还是无意的
正文里面说：”帮朋友做的项目，放在阿里云“
评论里面说：“项目为个人项目”

“直接 git clone 部署的，但 .git 目录没有暴露在公网”你这不是矛盾嘛 都在目录下了，不就能直接访问了（如果没配置啥规则）

“个人项目的安全是否需要叔叔来管” 你个人项目肯定没人管你呀，叔叔哪那么多闲心

“并提交了整改报告” 看着就是一个完整的报告漏洞修复漏洞的过程，这都是业务方要拿钱请人做的，是不是你朋友把项目部署到什么政府机关系统了，但是没经验又没做等保这些被甲方发现了。

@iyaozhen #64 首先，感谢评论

1. 正文中说『帮朋友做的项目』，评论中说『个人项目』，是因为有人提到是否政府项目，但该项目仅仅是朋友的个人项目而已

2. .git 目录 /var/www/project1/.git
nginx root 为 /var/www/project1/public
所以无法公网访问到 .git 目录

3. 叔叔确实下了《当场处罚决定书》，理由就是 .git 目录的存在

4. 整改过程就是我删除了 .git 目录，《整改报告》是叔叔给的仅一页的范文，我帮着写完而已

@unco020511 感谢, 有点明白了
就是只要文件夹放到对应目录下, 就能外网直接访问的那种

那有人说是 aliyun 扫服务器有 git 就上报, 感觉不太可能, git 应该是服务器上最频繁的 bin 之一了

个人猜测, 是楼主说的" .git 目录没有暴露在公网" 这点存疑: 更像是自己觉得没有放, 但是实际上是可以访问的.

@Chappako 网警是如何知道有个 .git 目录的，按你的描述是无法扫描到的

@hutoer 肯定是可以公网访问到的

没毛病，.git 敢丢到生产环境，这么蠢的事情，换我们之前的公司，别说开发人了，CodeReview 的人都要担责。

蠢不是攻击谁，只是说做事太离谱，堪比把密码写在备注里。

至于 OP 问的其他地方有没有。

多数地方都有，我依稀记得，每个地方的部门，都有自己的参考，导致有些检测内容还是有差异的。

@ZZ74 #23 我的 V“友” 你这个错别字和多打个字也“属于”非常严重的低级错误

.git 怎么会到 build 我也很疑惑你们的部署过程

@Chappako 那确实匪夷所思了

这个修漏洞的操作是没问题，企业内天天很多这种工单
但居然是叔叔给你发的漏洞“工单”，第一次见。因为这种漏洞太常见了，公司内部天天都好多，处理不完，叔叔一天能处理几个（虽然不要他修，但也得打电话、推进流程呀）

如果不是通过公网扫描，而是直接调服务器里的监控，细想极恐。哪天把你数据库扫描一遍看看有没什么敏感信息。

@Chappako #65 没暴露到公网是怎么被发现的，阿里云主机上有扫描工具自行通知了叔叔？

@icaolei 搁着套娃呢

楼主是不是用了宝塔面板呢

没明白怎么查到的？.git 也不在网站的根目录啊？

什么打包工具会把.git 打进去？用原生 js 写 html?

@ndxxx #63 看了楼主 65 楼的描述，看起来是是被阿里镜像的安全类进程扫到了 /var/www/ 这种高危路径下的 .git 文件夹出发了某种上报机制。总体上符合一贯的家长管理特色模式，处理方式“现场训诫+整改”，依然离大谱