Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Вторая за неделю критическая уязвимость в GitLab , opennews (??), 31-Авг-22, (0) [смотреть все] Скрыто модератором, Иваня (?), 08:36 , 31-Авг-22, (3) –9 // Скрыто модератором, Минона (ok), 09:18 , 31-Авг-22, (7) дружно переходим на Gitea, Аноним (8), 09:31 , 31-Авг-22, (8) +3 // Ты что Он же на Си Там же дырени , YetAnotherOnanym (ok), 09:39 , 31-Авг-22, (9) –2 // Разве Gitea не на Go , Аноним (13), 10:34 , 31-Авг-22, (13) +5 // главное что не на расте, anonymous (??), 11:02 , 31-Авг-22, (14) +5 А, блин, перепутал, сорри , YetAnotherOnanym (ok), 11:07 , 31-Авг-22, (16) +1 Фрактал простит , Владимир (??), 19:16 , 31-Авг-22, (23) CGit на C , InuYasha (??), 00:14 , 01-Сен-22, (30) // И кстати не замечен в приколах вида вторая за неделю критическая уязвимость Н, Аноним (36), 16:00 , 01-Сен-22, (36) +1 Давно было пора , Аноним (19), 13:11 , 31-Авг-22, (19) Вроде Blender недавно перешел на Gitea А это уже весомый аргумент А чем Gitea т, Аноним (-), 16:54 , 31-Авг-22, (22) +6 // просто гитлаб крут, пока не начинаешь его использовать Нужны зеркала репозиторие, Аноним (24), 20:18 , 31-Авг-22, (24) +1   // Давно уже в Community Edition, то есть бесплатно Правда, я не понимаю, зачем он, freehck (ok), 21:40 , 31-Авг-22, (26)   а гитлабовцы пишут, что премиум https docs gitlab com ee user project reposito, Аноним (28), 22:32 , 31-Авг-22, (28)   А, эти зеркала Пардон Я подумал, что речь про registry mirror Да, эти -- пока, freehck (ok), 23:44 , 31-Авг-22, (29)   ну вот либо используешь возможности гитлаба и живешь без protected-бранчей или с, Аноним (24), 00:55 , 01-Сен-22, (31)   Ну я бы не сказал, что это прям костыли Я видел много систем CI CD И везде при, freehck (ok), 10:47 , 01-Сен-22, (34)   Как раз недавно писал на эту тему https www opennet ru openforum vsluhforumID, freehck (ok), 21:17 , 31-Авг-22, (25) +3 // насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса в том , лютый ж.... (?), 21:41 , 31-Авг-22, (27) Дорогой Прежде, чем рассуждать об интеллектуальных качествах собеседника, подум, freehck (ok), 13:36 , 01-Сен-22, (35) Это freehck, он давно себя гением мысли зарекомендовал На аву посмотри, лол , Аноним (-), 17:23 , 01-Сен-22, (38) –1 Но как же так Ведь Руби - безопасный язык, в нём нет работы с памятью напрямую , YetAnotherOnanym (ok), 09:41 , 31-Авг-22, (10) +2 // но это ничего не гарантирует 9757 65039 , Аноним (-), 09:54 , 31-Авг-22, (11) +3 // Что же это тогда получается, раст тоже небезопасны язык , Аноним (17), 12:12 , 31-Авг-22, (17) –1 // никогда им не был, Аноним (20), 13:15 , 31-Авг-22, (20) +1 Программисты на Руби уже давно редкий вид, который редко встречается в природе , Аноним (17), 12:12 , 31-Авг-22, (18) Какая-то хэрня у любого девелопера всё равно есть права в gitlab-ci yml проп, лютый ж.... (?), 13:53 , 31-Авг-22, (21) // Тссссссс Не пали фичу , Ананоним (?), 01:56 , 01-Сен-22, (32) На третий день Зоркий Глаз заметил что вебмакаки не умеют в безопасность систем , Аноним (-), 17:20 , 01-Сен-22, (37) а если я вынесу в отдельную репу gitlab-ci yml и не дам права - сможешь прописа, VitalyE (?), 00:51 , 04-Сен-22, (39) 8,10,21

Сообщения

[Сортировка по времени | RSS]

	24. "Вторая за неделю критическая уязвимость в GitLab "	+1 +/–
	Сообщение от Аноним (24), 31-Авг-22, 20:18
	просто гитлаб крут, пока не начинаешь его использовать. Нужны зеркала репозиториев (pull)? — плати деньги. А в gitea они "бесплатные" Ты прикрутил линтер/etc… и оно в MR сгенерировало много коментариев? — больше ты не видишь коментариев в этом MR Тебе захотелось вынести часть CI в репозиторий доступный только безопасникам (для их нужд)? А все, CI работать не будет, т.к. для запуска нужны права девелопера в репозитории безопасников. Решил хотя бы использовать защищенную ветку? А теперь давай всем права мэнтейнера Хочешь скрыть в CI пароль? — Используй только буквенно-цифровые комбинации. И т.д. И баги висят годами В случае гитлаба, если не готов платить деньги, то костылишь некоторые возможности, если готов, то все равно костылишь.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Вторая за неделю критическая уязвимость в GitLab "	+/–
	Сообщение от freehck (ok), 31-Авг-22, 21:40
	> Нужны зеркала репозиториев (pull)? — плати деньги. А в gitea они "бесплатные" Давно уже в Community Edition, то есть бесплатно. Правда, я не понимаю, зачем они вообще там нужны, ибо развернуть свой docker registry mirror -- блин, ну просто контейнер поднять. Было бы зачем огород городить. > Тебе захотелось вынести часть CI в репозиторий доступный только безопасникам (для их нужд)? А все, CI работать не будет, т.к. для запуска нужны права девелопера в репозитории безопасников. Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него. > Ты прикрутил линтер/etc… и оно в MR сгенерировало много коментариев? — больше ты не видишь коментариев в этом MR Понимаю, о чём вы. Да, бага с просмотром тестов висела очень долго. Но в конечном итоге её ж пофиксили. > Хочешь скрыть в CI пароль? — Используй только буквенно-цифровые комбинации. Ну не только буквенно-циферные. Там есть некоторое количество спецсимволов: https://git.docrobot.ru/help/ci/variables/index#mask-a-cicd-... В любом случае mask -- это не 100% защита, и это надо понимать.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Вторая за неделю критическая уязвимость в GitLab "	+/–
	Сообщение от Аноним (28), 31-Авг-22, 22:32
	> Давно уже в Community Edition, то есть бесплатно. а гитлабовцы пишут, что премиум https://docs.gitlab.com/ee/user/project/repository/mirror/pu... > Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него. курлом что ли? тогда между пайплайнами нет связи и, если пайплайн безопасников выполнился не успешно, то пайплайн разработчиков об этом никак не узнает. Я нашел только открытые тикеты на эту тему > Но в конечном итоге её ж пофиксили. мы уже извернулись через отправку почты и чаты. Криво, но три года ждать не могли. > В любом случае mask -- это не 100% защита, и это надо понимать. да это понятно, учитывая, в т.ч. и доступ к .gitlab-ci. Но к примеру тот же дженкинс не позволяет просматривать или редактировать секреты после сохранения, генерирует +/- случайные пути к файлам и т.д. Просто в случае gitea знаешь на что подписался: она идет бесплатно и нужное приходится доделывать самому. А тут вроде деньги заплатил, а нужное приходится доделывать самому :)
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Вторая за неделю критическая уязвимость в GitLab "	+/–
	Сообщение от freehck (ok), 31-Авг-22, 23:44
	>> Давно уже в Community Edition, то есть бесплатно. > а гитлабовцы пишут, что премиум А, эти зеркала. Пардон. Я подумал, что речь про registry mirror. Да, эти -- пока только в премиуме. Но у меня для этого shell-скрипт есть. Наваял буквально за час, там ведь надо по сути всего-ничего: git clone --mirror / git push --mirror. Само собой, что покупать ради этого премиум -- нонсенс. >> Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него. > курлом что ли? тогда между пайплайнами нет связи и, если пайплайн безопасников выполнился не успешно, то пайплайн разработчиков об этом никак не узнает. Я нашел только открытые тикеты на эту тему Держи: https://gitlab.com/almaops/gitlab-trigger-deploy Я этот скрипт написал лет пять назад, когда впервые столкнулся с данным вопросом. Используем для деплоев в основном, но по сути он триггерит пайплайн другого проекта, дожидается его завершения и наследует его статус. Спецом для делплоев обернул полгода назад в контейнер, ибо это применение триггера -- самое частое. >> Но в конечном итоге её ж пофиксили. > мы уже извернулись через отправку почты и чаты. Криво, но три года ждать не могли. А мы -- через allure и pages. Старый проверенный надёжный инструмент. >> В любом случае mask -- это не 100% защита, и это надо понимать. > да это понятно, учитывая, в т.ч. и доступ к .gitlab-ci. Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче. > Но к примеру тот же дженкинс не позволяет просматривать или редактировать секреты после сохранения, генерирует +/- случайные пути к файлам и т.д. Ну, при наличии доступа к скрипту пайплайна -- это что в дженкинсе, что в гитлабе обходится на раз-два. Тут не о чем спорить. Суть в том, что маскировка переменных -- не более чем защита на случай, если сам ошибёшься где-то. Для защиты секретов нужен protected-бранч с ответственным мейнтейнером во-первых, во-вторых vault как второй уровень защиты, и в-третьих строго прописанные регламенты гитфлоу, в которых зафиксирована ответственность мейнтейнера в случае компрометирующих секреты правок в пайплайн. > Просто в случае gitea знаешь на что подписался: она идет бесплатно и нужное приходится доделывать самому. А тут вроде деньги заплатил, а нужное приходится доделывать самому :) Понимаю, но у меня с gitlab ровно та же песня: подавляющее большинство инсталляций -- именно community edition. А нужный платный функционал реализован своими скриптами. Большинству клиентов это как раз очень нравится: то, что можно обойтись бесплатной версией гитлаба, но за счёт нашей экспертизы использовать его на полную мощность. Я ничего не имею против gitea, однако gitlab допиливать нужно кратно меньше: а подавляющему большинству и вовсе хватает бесплатной версии "как она есть".
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Вторая за неделю критическая уязвимость в GitLab "	+/–
	Сообщение от Аноним (24), 01-Сен-22, 00:55
	> Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче. ну вот либо используешь возможности гитлаба и живешь без protected-бранчей или с лишними мэнтейнерами, либо подставляешь костыли Вроде у них в планах есть переделка прав и ролей, но неизвестно когда спасибо за скрипт. Я вспомнил, что находил уже подобное https://gitlab.com/finestructure/pipeline-trigger только не помню, почему не использовали
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Вторая за неделю критическая уязвимость в GitLab "	+/–
	Сообщение от freehck (ok), 01-Сен-22, 10:47
	>> Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче. > ну вот либо используешь возможности гитлаба и живешь без protected-бранчей > или с лишними мэнтейнерами, либо подставляешь костыли Ну я бы не сказал, что это прям костыли. Я видел много систем CI/CD. И везде приходилось что-то допиливать. В gitlab приходилось допиливать меньше всего. Где-то у меня был драфт заметки о недостатках скриптования пайплайнов в разных CI/CD системах, можно было бы её поднять и актуализировать. Я в итоге пришёл к тому, что gitlab меня устраивает куда больше всех прочих, и последний год я сижу исключительно на нём. А так-то, если подумать, мог бы написать сравнение с jenkins, travis, circle, codefresh, drone, teamcity и gitea. Благо, опыт имеется. Справедливости ради, в некоторых из них есть фишки, которых в gitlab нету, в том же teamcity или travis например. Некоторые предоставляют больше возможностей сделать что-то нестандартное, хоть тот же jenkins. Правда, в его случае начинает играть человеческий фактор, и люди начинают повально велосипедить, так что ещё не факт, плюс ли это. > Вроде у них в планах есть переделка прав и ролей, но неизвестно когда По опыту скажу: вряд ли этого стоит ждать когда-либо. Очень вряд ли. > спасибо за скрипт. Я вспомнил, что находил уже подобное https://gitlab.com/finestructure/pipeline-trigger > только не помню, почему не использовали Посмотрел на скрипт. Догадываюсь, почему его не хотелось использовать. Впрочем, если иных обходных решений не было, не могу понять, почему не использовали, даже если не хотелось. Вполне сошёл бы за основу.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема