思细级恐啊，我们自己搭的 gitlab 的都被黑了！

Jooooooooo

2022-02-24 20:49:15 +08:00

?

"阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞"

然后真的被攻击了

表现很惊讶

?

tomczhen

2022-02-24 20:54:28 +08:00

当然是选择自研了。

只要不公开代码，就没黑客知道有漏洞 :doge:

yhxx

2022-02-24 20:54:45 +08:00

首先为啥你们的 gitlab 公网能访问？

然后时不时的被提醒还不当回事，出事了觉得人家不安全？

heipipi

2022-02-24 20:55:04 +08:00

补一张图

[![bFHAoR.png]( https://s4.ax1x.com/2022/02/24/bFHAoR.png)]( https://imgtu.com/i/bFHAoR)

swsh007

2022-02-24 20:55:52 +08:00

都内部了
为啥用公网放代码

opengps

2022-02-24 20:56:29 +08:00

安全防御稍微多点就足够了，不用替换掉

illl

2022-02-24 20:57:36 +08:00

去年出了个 rce 漏洞的嘛，及时更新问题就不大

jim9606

2022-02-24 20:58:54 +08:00

你有本事自研就来吧，看你老板愿意给你分多少经费人力时间吧，搞成了你就是公司骨干了。

ysjiang4869

2022-02-24 20:58:57 +08:00

及时更新升级，限制访问 IP 等都行啊。别因噎废食啊

icy37785

2022-02-24 20:59:14 +08:00

不能理解，都提示有安全漏洞，说明是已知漏洞，已知漏洞一般版本更新都会修复，有更新补丁之前至少也会有临时解决方案。
自己不当回事然后现在很吃惊的样子，我理解不了。
然后怪人家名气大，要找名气没那么大的项目。这个脑回路我更理解不了。
没有任何代码是没有漏洞的，名气大一般发现漏洞后被修复快，没什么人用的项目，有漏洞正在被人利用可能你都不知道。
gitlab 至少阿里云都在提示你了。

arischow

2022-02-24 21:02:38 +08:00

没这水平就直接去买服务

skiy

2022-02-24 21:05:36 +08:00

只用代码仓库？ gitea/gogs 可以。也可以用 V 友开发的 onedev 。另外，GitLab 可以用 docker 布署吧？升级也挺方便啊。

xiangyuecn

2022-02-24 21:06:48 +08:00

暴露公网，被人多捅几下也没什么毛病吧😂

dzdh

2022-02-24 21:10:15 +08:00

一个人跟我说他有新冠。我没理他，没想到我居然也阳了。

0o0O0o0O0o

2022-02-24 21:21:38 +08:00

> 上网搜了一下才知道，gitlab 因为名气太大，已经被黑客研究透了，所以其实很不安全

你得关注更新啊

jousca

2022-02-24 21:29:18 +08:00

阿里云都发现漏洞了，你不升级修补，翻车了怪人家 gitlab

你们公司的运维都是挂职的么……

felixcode

2022-02-24 21:58:20 +08:00

这种放公网的自建服务就得有运维工作，至少得有补丁升级和安全防护。
如果都没有，无视 waf 报警，还吓出一身冷汗，那只能说这些危险都在你们的预知范围外，更不用提怎么防范了，用什么搭建都白搭。
没被收取天价账单费用就不错了，纯属幸运。

kingfalse

2022-02-24 22:00:21 +08:00

gitlab 内网部署，不开放公网这不是基本常识吗。。。

Senorsen

2022-02-24 22:12:40 +08:00

不管你们用啥，暴露到公网+不及时更新，都会被黑的。。

Osk

2022-02-24 22:23:36 +08:00

就算自己开发, 也不能保证没有漏洞吧, 你引入的每一个第三方库 /框架等都会成为风险来源.

放公网必须得有人负责维护, 关注升级, 安装更新等等.

不然就算你们用 ssh 来做 git 后端也一样被黑.