叔叔因项目目录内有 .git 目录给出处罚

帮朋友做的项目，放在阿里云

前些天收到吉林东少数民族州叔叔的处罚决定书，执行方式为当场训诫，并要求整改

原因是，项目文件夹中找到了 Git 的元数据目录(Git)，攻击者可以通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码

目前已删除项目下 .git 目录，并提交了整改报告

想问一下，其他地方也有这种操作么

opengps

2024-08-21 09:28:46 +08:00

这样挺好
如果做过等保的话，很多这种小细节都会要求改掉，本来黑客技术就是综合利用了一些很小的漏洞来实现了很大的危险

pfffs

2024-08-21 09:30:59 +08:00

很多人把密钥之类的敏感信息也提交到 git ，确实不太安全

bluehr

2024-08-21 09:31:45 +08:00

想问一下，其他地方也有这种操作么

这个操作很正常，这已经是入门级的网络安全题目了，比如 CTFHUB 里面的入门课程

huzhizhao

2024-08-21 09:32:02 +08:00

看当地要求
我上家，做等保的时候也没有要求这些

cominghome

2024-08-21 09:37:07 +08:00

合理，该整改就整改。个人认为等保、iso 认证一类的审计流于形式，但有些指导项和细节确实是可以的

coderluan

2024-08-21 09:37:15 +08:00

不太明白，有安全问题我理解，但是为啥是叔叔管这个，是楼主这个项目本身就是给体制内用的？

2024-08-21 09:38:01 +08:00

问题是，1. jc 怎么知道的？ 2. 你们上线服务没做基本的防护么？

proxytoworld

2024-08-21 09:40:53 +08:00

@follow 有公司扫描

@coderluan 网警，确实归他们管

Configuration

2024-08-21 09:56:25 +08:00

如果是你的项目部署方式有问题，在服务器上被扫描到的，那没毛病，就是你的锅

weixind

2024-08-21 09:58:14 +08:00

@follow 1. 叔叔也会扫网滴。很多人刻板印象觉得叔叔技术不好。2. 发帖的人可能都不知道这样为啥有问题。不然也不会发帖了。

twofox

2024-08-21 09:58:46 +08:00

我做的小项目，一直都有这种扫描器，扫描.git 、backup.tar.gz 、config 、dump.sql 之类的很多很多

746970179

2024-08-21 10:03:10 +08:00

想问下, 如果没有 git, 如何把代码同步到服务器呢?

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1066609

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.