叔叔因项目目录内有 .git 目录给出处罚

帮朋友做的项目，放在阿里云

前些天收到吉林东少数民族州叔叔的处罚决定书，执行方式为当场训诫，并要求整改

原因是，项目文件夹中找到了 Git 的元数据目录(Git)，攻击者可以通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码

目前已删除项目下 .git 目录，并提交了整改报告

想问一下，其他地方也有这种操作么

hafuhafu

2024-08-21 10:42:09 +08:00

个人项目，你又说.git 目录没暴露到公网，那他们是用外部工具扫到的还是服务器上有啥工具？

zackzergzeng

2024-08-21 10:46:05 +08:00

朋友没告诉你帮忙做的项目的安全等级吗？有点草率啊，能让叔叔出动的项目就随便分给外人了？

GG668v26Fd55CP5W

2024-08-21 10:46:46 +08:00

@Chappako 既然没有暴露在公网，那就不是扫的，它是直接查看云服务器取证的，阿里云配合度这么好，赶紧卸载它的监控吧。

evill

2024-08-21 10:50:22 +08:00

个人项目？他们怎么会知道你机器上有什么？

Pierro

2024-08-21 10:51:54 +08:00

通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码好奇这一步怎么做

zhch602

2024-08-21 11:01:03 +08:00

@dylanqqt 微信支付宝这种国民 APP ，如果出现故障是会被 jc 追责的

zhangeric

2024-08-21 11:19:48 +08:00

不都是当地网信办负责这事么?怎么还上警察了?难道之前网信办发通知你们没处理?

kuaner

2024-08-21 11:23:02 +08:00

是我理解错了，我以为是给政府做的项目，然后出的这种问题。

意思就是自己的项目，丢在网上的，也被约谈了？可怕

proxytoworld

2024-08-21 11:26:50 +08:00

@Pierro git 里面有完整的记录，可以用这个恢复源码，有开源代码做这个

fank99

2024-08-21 11:28:38 +08:00

我觉得有点离谱，我个人项目的安全问题，跟叔叔有什么关系？
例如阿里云来提醒我，我觉得没毛病，但是叔叔都扫盘了，凭啥？

ivvei

2024-08-21 11:32:42 +08:00

@zhch602 举个追责的例子？这几个并不是没出过事故

lambdaq

2024-08-21 11:40:09 +08:00

项目文件夹中找到了 Git 的元数据目录(Git)，还是服务器 URL 里可以访问 .git ？

unco020511

2024-08-21 11:47:39 +08:00

@746970179 就是把.git 文件夹也部署到网站了,用户可以直接访问

nazhenhuiyi294

2024-08-21 11:53:21 +08:00

没说清楚，是对外的生产环境能访问到 git 目录，这个挺低级的错误。这个配置下就好了呀

zhw2590582

2024-08-21 12:38:45 +08:00

还是不理解，自己的项目，为何他们这也要管？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1066609

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.