思细级恐啊，我们自己搭的 gitlab 的都被黑了！

我一直都认为这个世界上很多不懂运维的人的，楼主被喷真的是没有被冤枉的。连 windows 都有漏掉啊，macos 都有漏洞的，nginx 也有漏洞，虽然漏洞的本身有大有小。既然都提示有漏洞还不处理更新下。还有很多大聪明，比如把 jumpserver 放到公网的，git 仓库算是非常重要的吧，居然有人放公网（大猪投会解释，我有 https 啊，连最基本的本质问题没搞明白），还有 maven 私库 也有很多人放公网，这样的大聪明非常的多。现实中我都是直接邮件过去，提示安全隐患，但是很多大聪明知识和认知都无法理解。所以科普知识非常的重要，需要大家传递。

再给一个例子，spring cloud config 曾经暴露过一个高危漏洞，大概就是可以通过请求 访问到服务上任何路径的文件。大聪明会这样想的，配置中心都是内网的啊，没啥担心的啊。这意味着，任何进入正式环境的内网的人都可以访问到这个服务，而进入内网的权限相对比较小，比如很多普通的研发都可以进入正式环境的内网访问，这样就会产生安全问题了，但是很多人不把这些权限边界处理好。

希望楼主能改过自新，多多了解下 -问题的本质，事情的本质，很多事情其实非常的简单。

不得不再一次感叹，程序员之间的差距实在是大，大到“程序员”这个名词已经没啥代表的含义了，不管是技术还是收入。

如何在地球爆炸时，保证你的服务还能正常运行 (*￣︶￣)

1. 把内部服务开放的公网上，并非不可。前提是能保证及时升级，及时打补丁，有安全团队能及时对 0day 做出应对
2. 对于一个应用，做到上述也许不难。假设有 100 个内部服务，全部都暴露到公网上，每个应用都要及时升级打补丁，那就非常困难了
3. 所以为啥要用 VPN 组内网？只要把控好 VPN 安全，就能抵御绝大多数攻击了

gitlab 替代品当然有很多，比如 GitHub Enterprise 私有部署。愿意花钱啥都有
“最好也是开源免费的，功能不用太多，够用就行“ 楼上提了很多非商业的开源项目，只要愿意忍受比 gitlab 更多的漏洞，那么随便使用。

linux 名气也很大，也有漏洞，那你换系统吧

另外，相比安全知识和运维知识，楼主更需要的是这个
https://github.com/ryanhanwu/How-To-Ask-Questions-The-Smart-Way/blob/main/README-zh_CN.md

@superchijinpeng 因为放在 Gitlab.com 不容易被黑啊！

"本身漏洞百出也是理所应当？" 还真是理所应当，至少人家有漏洞也没义务向你负责，你自己不修只能怪你自己，看你原文里说的“最好也是开源免费的”，我想你大概没有向 gitlab 公司交钱吧？

那楼主要不要看下 GitLab 开源版本所使用的 MIT 协议是怎么说的

The Software is provided “as is”, without warranty of any kind, express or implied, including but not limited to the warranties of merchantability, fitness for a particular purpose and noninfringement. In no event shall the authors or copyright holders be liable for any claim, damages or other liability, whether in an action of contract, tort or otherwise, arising from, out of or in connection with the software or the use or other dealings in the Software.

本软件是按原样提供的，没有任何形式的明示或暗示的保证，包括但不限于对适销性、特定用途的适用性和不侵权的保证。在任何情况下，作者或版权持有人都不对任何索赔、损害或其他责任负责，无论这些追责来自合同、侵权或其它行为中，还是产生于、源于或有关于本软件以及本软件的使用或其它处置。

贵司需要更专业更懂安全的运维……如果楼主是开发的话，就老老实实当 dev 吧，别揽 DevOps 的活了。

『抛开事实不谈，Gitlab 就一点问题没有吗』
『哪怕我司运维占 99.999%的责任，你们 Gitlab 就不用承担那 0.001% 的锅吗』

我觉得放公网无可厚非啊，本来就是可能的选择，要到出问题了才说不能放公网？这是什么道理？

就像你做一个功能，结果客户非要以一种奇怪的姿势去使用然后出错了，这本身就是可能发生的事。

不应该关注这个漏洞是怎么来的？怎么去解决？怎么去做好安全工作的吗？为啥在这一个劲的喷，说不让放公网就解决问题了？这不是掩耳盗铃？

1. 一款 web 应用，不能放在互联网，你们居然觉得理所应当？居然不觉得自相矛盾？
不是不能放互联网，而是既然你放在了互联网，你就要应该知道放互联网的风险。
2. gitlab 放在公开 web 上被黑了，你们一股脑都说是我的网络环境问题，gitlab 就毫无问题？ gitlab 本身漏洞百出也是理所应当？
所有东西都有漏洞，是你在使用的时候产生了混淆：Gitlab.com 一直没问题 != 我用私有部署的 Gitlab 上互联网也没问题
3. gitlab 官方也没说过必须放在内网才能用？你们在这自以为是什么东西？
我觉得大家已经给出足够多善意的建议了，只是在楼主在描述完贵司自认为的事实，认为己方全然无责后被喷，面子总会有点过不去…
4. 如果 gitlab 本身足够安全，放公网又如何？
还是那句话，所有东西都有漏洞。gitlab.com 的服务能面对公网，后面做了多少安全设施加固呢？
产品的安全是一时的，需要不断升级的安全策略和安全应对才是永恒的。

@ltkun #35 这确实，换做 Linux 也会存在漏洞，全扔了自己做。和楼主一样，平台提示有漏洞不当一回事，出了问题就开始抱怨要换别的开源软件，同理只要开源存在一定用户量的甚至没用户都一样会有研究漏洞的人。
最根本的原因是没有及时依照官方推送处理而已。

5. 还有些人张口就说我没升级，请问您知道我用的版本？您是会算还是会猜？
敢不敢直接说一下你用的什么版本，看看我们冤枉你没？

楼主言论太傻逼了，只能说活该，不值得同情

没出钱还要喷人家，找个付费服务再去喷吧，，，，开源的东西本来就需要及时关注更新以及漏洞补丁等问题

发现回复里全是逆行的，只有楼主走在正确的方向上
是这世界错了

@ncepuzs 「 5. 还有些人张口就说我没升级，请问您知道我用的版本？您是会算还是会猜？」楼主的嘴巴，硬就完事了，我看也是想笑。

2. gitlab 放在公开 web 上被黑了，你们一股脑都说是我的网络环境问题，gitlab 就毫无问题？ gitlab 本身漏洞百出也是理所应当？
抛开事情对错不谈，难道 gitlab 就没有一点点问题吗 [doge]

> 思细级恐?
字都打不对吗
> 我们自己搭的 gitlab 的都被黑了！
我以为是和昨天 GitHub 被封号那个帖子差不多，被 gitlab 后门搞了。

看了你的内容，我也直呼“绝绝子”，特别是那句：gitlab 因为名气太大，已经被黑客研究透了，所以其实很不安全
那就别用 linux,windows 等操作系统了呗。

再看你的附言，笑死了，就像是被人喷的破防了，面子挂不住了