思细级恐啊，我们自己搭的 gitlab 的都被黑了！

2022-02-24 20:48:00 +08:00

heipipi

情况是这样的，我们公司一直用 gitlab ，搭建在阿里云服务器上，作为公司内部开发代码仓库。但是一直以来，阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞，被扫描被攻击，但是我们一直也没当回事儿，觉得应该不至于出问题。

直到今天上午，我们发现在提交代码的时候冲突，就觉得奇怪，然后就上 gitlab 看了一眼，发现被人从 gitlab 的 web 端登录，并将恶意代码提交到了我们的仓库中。。。

顿时吓出一身冷汗啊！绝绝子！

上网搜了一下才知道，gitlab 因为名气太大，已经被黑客研究透了，所以其实很不安全。公司今天已经要求弃用了。

各位老哥，请问有没有能替代 gitlab 的项目，最好也是开源免费的，功能不用太多，够用就行，名气最好别太大。我们已经不敢再用 gitlab 了。

28965 次点击

所在节点

GitLab

247 条回复

Tokin

2022-02-25 11:10:41 +08:00

大开眼界

tcpdump

2022-02-25 11:11:50 +08:00

附言牛逼，我突然想明白了，理解万岁

pandaaa

2022-02-25 11:12:43 +08:00

今日笑谈哈哈

HardStone

2022-02-25 11:13:36 +08:00

@heipipi #71 (翻译翻译)
1. 钱不就是拿出去外面花嘛, 为什么不能直接把银行卡放在大街上
2. 银行卡被盗用了, 你们就一股脑说我的密码设置简单, 银行卡就毫无问题? 银行为什么不验证是不是我本人不是理所应当?
3. 银行本身也没说银行卡必须放在家里
4. 如果银行验证程序足够全面, 放在门口 /大街 /公厕又如何
5. 有些人张口就说让我放好设置复杂密码, 请问您知道我放在哪里? 密码是什么? 您是会算还是会猜

guaguaguaxia1

2022-02-25 11:14:00 +08:00

gitlab 公网能访问，就知道楼主什么水平了

heipipi

2022-02-25 11:16:27 +08:00

@guaguaguaxia1 按你的逻辑，gitlab 放在公网就是水平底下。那么 gitlab.com 也在公网访问，那么 gitlab 官方是什么水平？

dzdh

2022-02-25 11:16:40 +08:00

@dzdh #14

喂喂喂！！我这是反讽啊！！！不是我真阳了啊！！！！

heipipi

2022-02-25 11:17:20 +08:00

@HardStone 可以称你为偷换概念的专家

lovelynn

2022-02-25 11:18:00 +08:00

回答一下楼主升级的回答，如果你已经是最高的 gitlab 版本，依然在黑客没有可用账号密码的情况下 gitlab 被黑，那么恭喜你你可能捕获了一个 0day 这可是很值钱的～

so1n

2022-02-25 11:18:51 +08:00

这个可以公网访问 gitlab 仓库的操作真的牛逼了.....

superchijinpeng

2022-02-25 11:19:11 +08:00

神操作，既然都放公网了，为什么不直接用 gitlab.com ，还能省去运维成本，笑

wangyzj

2022-02-25 11:19:27 +08:00

如果代码库很重要就不要放在公网，至少要过一层 vpn
gitlab 更新频率很高，更新了一般不会有这种问题
so

ncepuzs

2022-02-25 11:19:54 +08:00

@ChasLui #61 这个原本就是计划对外提供服务的，后来才转向仅限校内用户注册。公网访问没啥啊，安全措施到位，运维团队（科大 Linux 用户协会，提供的其他公共服务包括科大镜像站等）给力就行。

nullboy

2022-02-25 11:20:06 +08:00

附言牛逼，po 主脑回路清奇

so1n

2022-02-25 11:21:18 +08:00

@heipipi 不是。。。。别人说的是代码仓你说的是官网如果你不是运维你这样说还可以如果你是运维这样说就是安全意识薄弱了任何东西放在公网都会被攻击，最低成本的解决办法就是放内网，然后用内部网络 /公司 VPN 访问，不然就需要人力去维护

HardStone

2022-02-25 11:23:21 +08:00

@heipipi #88 只是想说, 什么事情都有两面, 享受好处的同时尽量避免坏处, 一味寻找"下一个"只会没有尽头
其他大佬们说的问题我也不是完全赞同, 因为我们公司也是公网访问
但是我们公司有很多层验证, 邮箱 /2FA, 出现问题的时候也会停机维护及时更新 /修复

iamdaguduizhang

2022-02-25 11:25:00 +08:00

“你的东西都给我公开免费用了，怎么能有问题哪，你真是个王八蛋！！！”

pinkbook

2022-02-25 11:25:43 +08:00

看了附言，噗~~，充分体现了 lz 的自大和无知。以及不思进取。
建议说出公司及产品名字，大家避雷。
楼上说的很清楚了，没有任何一个程序是完全无漏洞的（即使现在没有，以后也会有），连 log4j 都能都大的 bug ，难道大家都不用了？？？
看来你们公司根本没有专业的安全团队，笑死。哪天公司服务器被勒索了，就知道哭了。
人不行怪路不平！

lovelynn

2022-02-25 11:26:11 +08:00

gitlab 的权限管理很多可以配置的，不开放注册并且没有弱口令的情况下很难造成类似楼主的这种安全问题。介于楼主阿里云的告警，基本都是基于已经公开的 gitlab 安全漏洞才会告警，这一点就可以证明楼主的 gitlab 并没有升级到最新版本。安全圈里有句话，没有安全的系统。即使像 spring 、log4j 这种使用普及的项目也依然曾经出现重大安全问题。如果因为安全问题弃用 gitlab ，那你大概率找不到更安全的开源代码管理系统。其次楼上说的 gitlab 不应开放在公网，这点我也是认可的。gitlab 历史上出现的一些模版注入、或者命令注入引起的 RCE ，因其业务复杂很难保证不出现在其他地方。使用 VPN 也可以防范于未然

justseemore

2022-02-25 11:30:33 +08:00

@pinkbook 估计服务器被勒索了..还要怪*nix 你让免费用, 还开源.. 让人玩透了,果断换 mac 当服务器, 闭源有漏洞正常

第 5 页／共 13 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/836253

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.