forum.opennet.ru - "Вторая за неделю критическая уязвимость в GitLab " (31)

"Вторая за неделю критическая уязвимость в GitLab "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Вторая за неделю критическая уязвимость в GitLab "	+/–
Сообщение от opennews (??), 31-Авг-22, 08:24
Компания GitLab опубликовала очередную серию корректирующих обновлений своей платформы для организации совместной разработки - 15.3.2, 15.2.4 и 15.1.6, в которых устранена критическая уязвимость (CVE-2022-2992), позволяющая аутентифицированному пользователю удалённо выполнить код на сервере. Как и уязвимость CVE-2022-2884, исправленная неделю назад, новая проблема присутствует в API для импорта данных из сервиса GitHub. Уязвимость проявляется в том числе в выпусках 15.3.1, 15.2.3 и 15.1.5, в которых была исправлена первая уязвимость в коде импорта из GitHub... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57704
Ответить \| Правка \| Cообщить модератору

Оглавление

Скрыто модератором, Иваня (?), 08:36 , 31-Авг-22, (3) –9

Скрыто модератором, Минона (ok), 09:18 , 31-Авг-22, (7)

дружно переходим на Gitea, Аноним (8), 09:31 , 31-Авг-22, (8) +3

Ты что Он же на Си Там же дырени , YetAnotherOnanym (ok), 09:39 , 31-Авг-22, (9) –2

Разве Gitea не на Go , Аноним (13), 10:34 , 31-Авг-22, (13) +5

главное что не на расте, anonymous (??), 11:02 , 31-Авг-22, (14) +5
А, блин, перепутал, сорри , YetAnotherOnanym (ok), 11:07 , 31-Авг-22, (16) +1

Фрактал простит , Владимир (??), 19:16 , 31-Авг-22, (23)

CGit на C , InuYasha (??), 00:14 , 01-Сен-22, (30)

И кстати не замечен в приколах вида вторая за неделю критическая уязвимость Н, Аноним (36), 16:00 , 01-Сен-22, (36) +1

Давно было пора , Аноним (19), 13:11 , 31-Авг-22, (19)
Вроде Blender недавно перешел на Gitea А это уже весомый аргумент А чем Gitea т, Аноним (-), 16:54 , 31-Авг-22, (22) +6

просто гитлаб крут, пока не начинаешь его использовать Нужны зеркала репозиторие, Аноним (24), 20:18 , 31-Авг-22, (24) +1

Давно уже в Community Edition, то есть бесплатно Правда, я не понимаю, зачем он, freehck (ok), 21:40 , 31-Авг-22, (26)

а гитлабовцы пишут, что премиум https docs gitlab com ee user project reposito, Аноним (28), 22:32 , 31-Авг-22, (28)

А, эти зеркала Пардон Я подумал, что речь про registry mirror Да, эти -- пока, freehck (ok), 23:44 , 31-Авг-22, (29)

ну вот либо используешь возможности гитлаба и живешь без protected-бранчей или с, Аноним (24), 00:55 , 01-Сен-22, (31)

Ну я бы не сказал, что это прям костыли Я видел много систем CI CD И везде при, freehck (ok), 10:47 , 01-Сен-22, (34)

Как раз недавно писал на эту тему https www opennet ru openforum vsluhforumID, freehck (ok), 21:17 , 31-Авг-22, (25) +3

насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса в том , лютый ж.... (?), 21:41 , 31-Авг-22, (27)

Дорогой Прежде, чем рассуждать об интеллектуальных качествах собеседника, подум, freehck (ok), 13:36 , 01-Сен-22, (35)
Это freehck, он давно себя гением мысли зарекомендовал На аву посмотри, лол , Аноним (-), 17:23 , 01-Сен-22, (38) –1

Но как же так Ведь Руби - безопасный язык, в нём нет работы с памятью напрямую , YetAnotherOnanym (ok), 09:41 , 31-Авг-22, (10) +2

но это ничего не гарантирует 9757 65039 , Аноним (-), 09:54 , 31-Авг-22, (11) +3

Что же это тогда получается, раст тоже небезопасны язык , Аноним (17), 12:12 , 31-Авг-22, (17) –1

никогда им не был, Аноним (20), 13:15 , 31-Авг-22, (20) +1

Программисты на Руби уже давно редкий вид, который редко встречается в природе , Аноним (17), 12:12 , 31-Авг-22, (18)

Какая-то хэрня у любого девелопера всё равно есть права в gitlab-ci yml проп, лютый ж.... (?), 13:53 , 31-Авг-22, (21)

Тссссссс Не пали фичу , Ананоним (?), 01:56 , 01-Сен-22, (32)
На третий день Зоркий Глаз заметил что вебмакаки не умеют в безопасность систем , Аноним (-), 17:20 , 01-Сен-22, (37)
а если я вынесу в отдельную репу gitlab-ci yml и не дам права - сможешь прописа, VitalyE (?), 00:51 , 04-Сен-22, (39)

Сообщения [Сортировка по ответам | RSS]

3. Сообщение от Иваня (?), 31-Авг-22, 08:36 –9 +/–

Какой позор, почему про GitHub так не пишут? Потому-что там лучшие программисты. Из моих закладок только один проект на этом дуршлаке https://gitlab.com/NTPsec/ntpsec

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

7. Сообщение от Минона (ok), 31-Авг-22, 09:18 +/–

> почему про GitHub так не пишут?
цензура майков?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

8. Сообщение от Аноним (8), 31-Авг-22, 09:31 +3 +/–

дружно переходим на Gitea

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #19, #22

9. Сообщение от YetAnotherOnanym (ok), 31-Авг-22, 09:39 –2 +/–

Ты что? Он же на Си! Там же дырени!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13, #30

10. Сообщение от YetAnotherOnanym (ok), 31-Авг-22, 09:41 +2 +/–

Но как же так? Ведь Руби - безопасный язык, в нём нет работы с памятью напрямую!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #18

11. Сообщение от Аноним (-), 31-Авг-22, 09:54 +3 +/–

но это ничего не гарантирует ☝️

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #17

13. Сообщение от Аноним (13), 31-Авг-22, 10:34 +5 +/–

Разве Gitea не на Go?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14, #16

14. Сообщение от anonymous (??), 31-Авг-22, 11:02 +5 +/–

главное что не на расте

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от YetAnotherOnanym (ok), 31-Авг-22, 11:07 +1 +/–

> Разве Gitea не на Go?
А, блин, перепутал, сорри.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #23

17. Сообщение от Аноним (17), 31-Авг-22, 12:12 –1 +/–

Что же это тогда получается, раст тоже небезопасны язык?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #20

18. Сообщение от Аноним (17), 31-Авг-22, 12:12 +/–

Программисты на Руби уже давно редкий вид, который редко встречается в природе. Баги фиксить некому.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

19. Сообщение от Аноним (19), 31-Авг-22, 13:11 +/–

Давно было пора.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

20. Сообщение от Аноним (20), 31-Авг-22, 13:15 +1 +/–

никогда им не был

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

21. Сообщение от лютый ж.... (?), 31-Авг-22, 13:53 +/–

Какая-то хэрня... у любого девелопера всё равно есть права в .gitlab-ci.yml прописать любую команду и runner её выполнит )

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #37, #39

22. Сообщение от Аноним (-), 31-Авг-22, 16:54 +6 +/–

Вроде Blender недавно перешел на Gitea. А это уже весомый аргумент.
А чем Gitea так крут? Кто пользовался?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #24, #25

23. Сообщение от Владимир (??), 31-Авг-22, 19:16 +/–

>А, блин, перепутал, сорри.
Фрактал простит ...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

24. Сообщение от Аноним (24), 31-Авг-22, 20:18 +1 +/–

просто гитлаб крут, пока не начинаешь его использовать.
Нужны зеркала репозиториев (pull)? — плати деньги. А в gitea они "бесплатные"
Ты прикрутил линтер/etc… и оно в MR сгенерировало много коментариев? — больше ты не видишь коментариев в этом MR
Тебе захотелось вынести часть CI в репозиторий доступный только безопасникам (для их нужд)? А все, CI работать не будет, т.к. для запуска нужны права девелопера в репозитории безопасников. Решил хотя бы использовать защищенную ветку? А теперь давай всем права мэнтейнера
Хочешь скрыть в CI пароль? — Используй только буквенно-цифровые комбинации.
И т.д. И баги висят годами
В случае гитлаба, если не готов платить деньги, то костылишь некоторые возможности, если готов, то все равно костылишь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #26

25. Сообщение от freehck (ok), 31-Авг-22, 21:17 +3 +/–

Как раз недавно писал на эту тему: https://www.opennet.ru/openforum/vsluhforumID3/128263.html#42
Распишу чуть более подробно именно в плане сравнения.
Gitea может быть крута, если ты умеешь её готовить. А готовить её надо уметь. Она из коробки предоставляет только минимально необходимый функционал, всё прочее необходимое для функционирования IT-производства реализуется сторонним софтом и интеграциями. Так, например, изначально в Gitea нет даже пайплайнов. Но вы можете поднять Drone и настроить интеграцию с Gitea. И вот, какие-то пайплайны у вас есть. Но вот допустим хотите вы собрать контейнер. Заюзали вы Drone с плагином для докера, собрали, надо запушить. А куда? Нужен docker registry. Извольте поднять самостоятельно. Ну и собственно додумайте сами ответ на впоросы "а что если мы собираем не докер имидж, а иные артефакты?" или "а что там c кэшированием?". Всё это потребует вашего времени. Тем не менее, если вы всё-таки его потратите на Gitea, то вы сможете её довести до состояния конфетки, которая будет делать ровно то, что вам нужно.
С другой стороны есть Gitlab. Он крут прямо из коробки, ибо предоставляет весь необходимый функционал сразу. То есть вместе с гитлабом у вас также будет установлен сервер хранения артефактов, container registry, сбор метрик, мониторинг, пайплайны (только подними раннеры, а сам сервер уже подготовлен), и всё это заинтегрировано друг с другом и готово к работе вот прямо сразу после установки. За это вы расплатитесь повышенным потреблением ресурсов, что вероятно не так уж хорошо для маленьких проектов. Но честно говоря, когда я смотрел в последний раз, в том же яндексе виртуалка с минимальной конфигурацией для гитлаба стоила что-то около трёх тысяч в месяц, так что это насколько ж бизнес должен быть мелким, чтобы не потянуть 3 косаря.
В общем, я при прочих равных выбираю Gitlab именно потому, что он не конструктор, а сразу решает задачи бизнеса.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #27

26. Сообщение от freehck (ok), 31-Авг-22, 21:40 +/–

> Нужны зеркала репозиториев (pull)? — плати деньги. А в gitea они "бесплатные"
Давно уже в Community Edition, то есть бесплатно. Правда, я не понимаю, зачем они вообще там нужны, ибо развернуть свой docker registry mirror -- блин, ну просто контейнер поднять. Было бы зачем огород городить.
> Тебе захотелось вынести часть CI в репозиторий доступный только безопасникам (для их нужд)? А все, CI работать не будет, т.к. для запуска нужны права девелопера в репозитории безопасников.
Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него.
> Ты прикрутил линтер/etc… и оно в MR сгенерировало много коментариев? — больше ты не видишь коментариев в этом MR
Понимаю, о чём вы. Да, бага с просмотром тестов висела очень долго. Но в конечном итоге её ж пофиксили.
> Хочешь скрыть в CI пароль? — Используй только буквенно-цифровые комбинации.
Ну не только буквенно-циферные. Там есть некоторое количество спецсимволов:
https://git.docrobot.ru/help/ci/variables/index#mask-a-cicd-...
В любом случае mask -- это не 100% защита, и это надо понимать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #28

27. Сообщение от лютый ж.... (?), 31-Авг-22, 21:41 +/–

>в том же яндексе виртуалка с минимальной конфигурацией
>насколько ж бизнес должен быть мелким
насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса? в том же селектеле
за 5 тыр в месяц получаешь i7-3.4ГГц/32GB/2×240GBSSD
а за 6 тыр i7-3.4ГГц/64ГБ/2×480ГБSSD

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #35, #38

28. Сообщение от Аноним (28), 31-Авг-22, 22:32 +/–

> Давно уже в Community Edition, то есть бесплатно.
а гитлабовцы пишут, что премиум https://docs.gitlab.com/ee/user/project/repository/mirror/pu...
> Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него.
курлом что ли? тогда между пайплайнами нет связи и, если пайплайн безопасников выполнился не успешно, то пайплайн разработчиков об этом никак не узнает. Я нашел только открытые тикеты на эту тему
> Но в конечном итоге её ж пофиксили.
мы уже извернулись через отправку почты и чаты. Криво, но три года ждать не могли.
> В любом случае mask -- это не 100% защита, и это надо понимать.
да это понятно, учитывая, в т.ч. и доступ к .gitlab-ci. Но к примеру тот же дженкинс не позволяет просматривать или редактировать секреты после сохранения, генерирует +/- случайные пути к файлам и т.д.
Просто в случае gitea знаешь на что подписался: она идет бесплатно и нужное приходится доделывать самому. А тут вроде деньги заплатил, а нужное приходится доделывать самому :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #29

29. Сообщение от freehck (ok), 31-Авг-22, 23:44 +/–

>> Давно уже в Community Edition, то есть бесплатно.
> а гитлабовцы пишут, что премиум
А, эти зеркала. Пардон. Я подумал, что речь про registry mirror. Да, эти -- пока только в премиуме. Но у меня для этого shell-скрипт есть. Наваял буквально за час, там ведь надо по сути всего-ничего: git clone --mirror / git push --mirror. Само собой, что покупать ради этого премиум -- нонсенс.
>> Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него.
> курлом что ли? тогда между пайплайнами нет связи и, если пайплайн безопасников выполнился не успешно, то пайплайн разработчиков об этом никак не узнает. Я нашел только открытые тикеты на эту тему
Держи: https://gitlab.com/almaops/gitlab-trigger-deploy
Я этот скрипт написал лет пять назад, когда впервые столкнулся с данным вопросом.
Используем для деплоев в основном, но по сути он триггерит пайплайн другого проекта, дожидается его завершения и наследует его статус. Спецом для делплоев обернул полгода назад в контейнер, ибо это применение триггера -- самое частое.
>> Но в конечном итоге её ж пофиксили.
> мы уже извернулись через отправку почты и чаты. Криво, но три года ждать не могли.
А мы -- через allure и pages. Старый проверенный надёжный инструмент.
>> В любом случае mask -- это не 100% защита, и это надо понимать.
> да это понятно, учитывая, в т.ч. и доступ к .gitlab-ci.
Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче.
> Но к примеру тот же дженкинс не позволяет просматривать или редактировать секреты после сохранения, генерирует +/- случайные пути к файлам и т.д.
Ну, при наличии доступа к скрипту пайплайна -- это что в дженкинсе, что в гитлабе обходится на раз-два. Тут не о чем спорить. Суть в том, что маскировка переменных -- не более чем защита на случай, если сам ошибёшься где-то. Для защиты секретов нужен protected-бранч с ответственным мейнтейнером во-первых, во-вторых vault как второй уровень защиты, и в-третьих строго прописанные регламенты гитфлоу, в которых зафиксирована ответственность мейнтейнера в случае компрометирующих секреты правок в пайплайн.
> Просто в случае gitea знаешь на что подписался: она идет бесплатно и нужное приходится доделывать самому. А тут вроде деньги заплатил, а нужное приходится доделывать самому :)
Понимаю, но у меня с gitlab ровно та же песня: подавляющее большинство инсталляций -- именно community edition. А нужный платный функционал реализован своими скриптами. Большинству клиентов это как раз очень нравится: то, что можно обойтись бесплатной версией гитлаба, но за счёт нашей экспертизы использовать его на полную мощность. Я ничего не имею против gitea, однако gitlab допиливать нужно кратно меньше: а подавляющему большинству и вовсе хватает бесплатной версии "как она есть".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #31

30. Сообщение от InuYasha (??), 01-Сен-22, 00:14 +/–

CGit на C.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #36

31. Сообщение от Аноним (24), 01-Сен-22, 00:55 +/–

> Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче.
ну вот либо используешь возможности гитлаба и живешь без protected-бранчей или с лишними мэнтейнерами, либо подставляешь костыли
Вроде у них в планах есть переделка прав и ролей, но неизвестно когда
спасибо за скрипт. Я вспомнил, что находил уже подобное https://gitlab.com/finestructure/pipeline-trigger
только не помню, почему не использовали

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #34

32. Сообщение от Ананоним (?), 01-Сен-22, 01:56 +/–

Тссссссс! Не пали фичу!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

34. Сообщение от freehck (ok), 01-Сен-22, 10:47 +/–

>> Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче.
> ну вот либо используешь возможности гитлаба и живешь без protected-бранчей
> или с лишними мэнтейнерами, либо подставляешь костыли
Ну я бы не сказал, что это прям костыли. Я видел много систем CI/CD. И везде приходилось что-то допиливать. В gitlab приходилось допиливать меньше всего. Где-то у меня был драфт заметки о недостатках скриптования пайплайнов в разных CI/CD системах, можно было бы её поднять и актуализировать. Я в итоге пришёл к тому, что gitlab меня устраивает куда больше всех прочих, и последний год я сижу исключительно на нём. А так-то, если подумать, мог бы написать сравнение с jenkins, travis, circle, codefresh, drone, teamcity и gitea. Благо, опыт имеется.
Справедливости ради, в некоторых из них есть фишки, которых в gitlab нету, в том же teamcity или travis например. Некоторые предоставляют больше возможностей сделать что-то нестандартное, хоть тот же jenkins. Правда, в его случае начинает играть человеческий фактор, и люди начинают повально велосипедить, так что ещё не факт, плюс ли это.
> Вроде у них в планах есть переделка прав и ролей, но неизвестно когда
По опыту скажу: вряд ли этого стоит ждать когда-либо. Очень вряд ли.
> спасибо за скрипт. Я вспомнил, что находил уже подобное https://gitlab.com/finestructure/pipeline-trigger
> только не помню, почему не использовали
Посмотрел на скрипт. Догадываюсь, почему его не хотелось использовать. Впрочем, если иных обходных решений не было, не могу понять, почему не использовали, даже если не хотелось. Вполне сошёл бы за основу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

35. Сообщение от freehck (ok), 01-Сен-22, 13:36 +/–

>>в том же яндексе виртуалка с минимальной конфигурацией
>>насколько ж бизнес должен быть мелким
> насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса?
Дорогой. Прежде, чем рассуждать об интеллектуальных качествах собеседника, подумай о следующем: вот пришёл к тебе клиент, у которого уже есть инфраструктура, купленная у конкретного вендора, и она его устраивает; ты будешь ему вендора менять только потому, что текущий -- неправославный? Или всё-таки выполнишь только ту работу, на которую подрядился?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

36. Сообщение от Аноним (36), 01-Сен-22, 16:00 +1 +/–

> CGit на C.
И кстати не замечен в приколах вида "вторая за неделю критическая уязвимость". Наверное потому что не пытается быть энтерпрайзным монстром пытающимся решать все проблемы человечества, вместо того чтобы быть интерфейсом к DVCS.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

37. Сообщение от Аноним (-), 01-Сен-22, 17:20 +/–

> Какая-то хэрня... у любого девелопера всё равно есть права в .gitlab-ci.yml прописать
> любую команду и runner её выполнит )
На третий день Зоркий Глаз заметил что вебмакаки не умеют в безопасность систем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

38. Сообщение от Аноним (-), 01-Сен-22, 17:23 –1 +/–

> насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса?
Это freehck, он давно себя гением мысли зарекомендовал. На аву посмотри, лол.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

39. Сообщение от VitalyE (?), 04-Сен-22, 00:51 +/–

а если я вынесу в отдельную репу .gitlab-ci.yml и не дам права - сможешь прописать что-то на выполнение?)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

3. Сообщение от Иваня (?), 31-Авг-22, 08:36	–9 +/–
Какой позор, почему про GitHub так не пишут? Потому-что там лучшие программисты. Из моих закладок только один проект на этом дуршлаке https://gitlab.com/NTPsec/ntpsec
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7

7. Сообщение от Минона (ok), 31-Авг-22, 09:18	+/–
> почему про GitHub так не пишут? цензура майков?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

8. Сообщение от Аноним (8), 31-Авг-22, 09:31	+3 +/–
дружно переходим на Gitea
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9, #19, #22

9. Сообщение от YetAnotherOnanym (ok), 31-Авг-22, 09:39	–2 +/–
Ты что? Он же на Си! Там же дырени!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #13, #30

10. Сообщение от YetAnotherOnanym (ok), 31-Авг-22, 09:41	+2 +/–
Но как же так? Ведь Руби - безопасный язык, в нём нет работы с памятью напрямую!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11, #18

11. Сообщение от Аноним (-), 31-Авг-22, 09:54	+3 +/–
но это ничего не гарантирует ☝️
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #17

13. Сообщение от Аноним (13), 31-Авг-22, 10:34	+5 +/–
Разве Gitea не на Go?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #14, #16

14. Сообщение от anonymous (??), 31-Авг-22, 11:02	+5 +/–
главное что не на расте
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

16. Сообщение от YetAnotherOnanym (ok), 31-Авг-22, 11:07	+1 +/–
> Разве Gitea не на Go? А, блин, перепутал, сорри.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #23

17. Сообщение от Аноним (17), 31-Авг-22, 12:12	–1 +/–
Что же это тогда получается, раст тоже небезопасны язык?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #20

18. Сообщение от Аноним (17), 31-Авг-22, 12:12	+/–
Программисты на Руби уже давно редкий вид, который редко встречается в природе. Баги фиксить некому.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

19. Сообщение от Аноним (19), 31-Авг-22, 13:11	+/–
Давно было пора.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

20. Сообщение от Аноним (20), 31-Авг-22, 13:15	+1 +/–
никогда им не был
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

21. Сообщение от лютый ж.... (?), 31-Авг-22, 13:53	+/–
Какая-то хэрня... у любого девелопера всё равно есть права в .gitlab-ci.yml прописать любую команду и runner её выполнит )
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #32, #37, #39

22. Сообщение от Аноним (-), 31-Авг-22, 16:54	+6 +/–
Вроде Blender недавно перешел на Gitea. А это уже весомый аргумент. А чем Gitea так крут? Кто пользовался?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #24, #25

23. Сообщение от Владимир (??), 31-Авг-22, 19:16	+/–
>А, блин, перепутал, сорри. Фрактал простит ...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

24. Сообщение от Аноним (24), 31-Авг-22, 20:18	+1 +/–
просто гитлаб крут, пока не начинаешь его использовать. Нужны зеркала репозиториев (pull)? — плати деньги. А в gitea они "бесплатные" Ты прикрутил линтер/etc… и оно в MR сгенерировало много коментариев? — больше ты не видишь коментариев в этом MR Тебе захотелось вынести часть CI в репозиторий доступный только безопасникам (для их нужд)? А все, CI работать не будет, т.к. для запуска нужны права девелопера в репозитории безопасников. Решил хотя бы использовать защищенную ветку? А теперь давай всем права мэнтейнера Хочешь скрыть в CI пароль? — Используй только буквенно-цифровые комбинации. И т.д. И баги висят годами В случае гитлаба, если не готов платить деньги, то костылишь некоторые возможности, если готов, то все равно костылишь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #26

25. Сообщение от freehck (ok), 31-Авг-22, 21:17	+3 +/–
Как раз недавно писал на эту тему: https://www.opennet.ru/openforum/vsluhforumID3/128263.html#42 Распишу чуть более подробно именно в плане сравнения. Gitea может быть крута, если ты умеешь её готовить. А готовить её надо уметь. Она из коробки предоставляет только минимально необходимый функционал, всё прочее необходимое для функционирования IT-производства реализуется сторонним софтом и интеграциями. Так, например, изначально в Gitea нет даже пайплайнов. Но вы можете поднять Drone и настроить интеграцию с Gitea. И вот, какие-то пайплайны у вас есть. Но вот допустим хотите вы собрать контейнер. Заюзали вы Drone с плагином для докера, собрали, надо запушить. А куда? Нужен docker registry. Извольте поднять самостоятельно. Ну и собственно додумайте сами ответ на впоросы "а что если мы собираем не докер имидж, а иные артефакты?" или "а что там c кэшированием?". Всё это потребует вашего времени. Тем не менее, если вы всё-таки его потратите на Gitea, то вы сможете её довести до состояния конфетки, которая будет делать ровно то, что вам нужно. С другой стороны есть Gitlab. Он крут прямо из коробки, ибо предоставляет весь необходимый функционал сразу. То есть вместе с гитлабом у вас также будет установлен сервер хранения артефактов, container registry, сбор метрик, мониторинг, пайплайны (только подними раннеры, а сам сервер уже подготовлен), и всё это заинтегрировано друг с другом и готово к работе вот прямо сразу после установки. За это вы расплатитесь повышенным потреблением ресурсов, что вероятно не так уж хорошо для маленьких проектов. Но честно говоря, когда я смотрел в последний раз, в том же яндексе виртуалка с минимальной конфигурацией для гитлаба стоила что-то около трёх тысяч в месяц, так что это насколько ж бизнес должен быть мелким, чтобы не потянуть 3 косаря. В общем, я при прочих равных выбираю Gitlab именно потому, что он не конструктор, а сразу решает задачи бизнеса.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #27

26. Сообщение от freehck (ok), 31-Авг-22, 21:40	+/–
> Нужны зеркала репозиториев (pull)? — плати деньги. А в gitea они "бесплатные" Давно уже в Community Edition, то есть бесплатно. Правда, я не понимаю, зачем они вообще там нужны, ибо развернуть свой docker registry mirror -- блин, ну просто контейнер поднять. Было бы зачем огород городить. > Тебе захотелось вынести часть CI в репозиторий доступный только безопасникам (для их нужд)? А все, CI работать не будет, т.к. для запуска нужны права девелопера в репозитории безопасников. Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него. > Ты прикрутил линтер/etc… и оно в MR сгенерировало много коментариев? — больше ты не видишь коментариев в этом MR Понимаю, о чём вы. Да, бага с просмотром тестов висела очень долго. Но в конечном итоге её ж пофиксили. > Хочешь скрыть в CI пароль? — Используй только буквенно-цифровые комбинации. Ну не только буквенно-циферные. Там есть некоторое количество спецсимволов: https://git.docrobot.ru/help/ci/variables/index#mask-a-cicd-... В любом случае mask -- это не 100% защита, и это надо понимать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #28

27. Сообщение от лютый ж.... (?), 31-Авг-22, 21:41	+/–
>в том же яндексе виртуалка с минимальной конфигурацией >насколько ж бизнес должен быть мелким насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса? в том же селектеле за 5 тыр в месяц получаешь i7-3.4ГГц/32GB/2×240GBSSD а за 6 тыр i7-3.4ГГц/64ГБ/2×480ГБSSD
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #35, #38

28. Сообщение от Аноним (28), 31-Авг-22, 22:32	+/–
> Давно уже в Community Edition, то есть бесплатно. а гитлабовцы пишут, что премиум https://docs.gitlab.com/ee/user/project/repository/mirror/pu... > Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него. курлом что ли? тогда между пайплайнами нет связи и, если пайплайн безопасников выполнился не успешно, то пайплайн разработчиков об этом никак не узнает. Я нашел только открытые тикеты на эту тему > Но в конечном итоге её ж пофиксили. мы уже извернулись через отправку почты и чаты. Криво, но три года ждать не могли. > В любом случае mask -- это не 100% защита, и это надо понимать. да это понятно, учитывая, в т.ч. и доступ к .gitlab-ci. Но к примеру тот же дженкинс не позволяет просматривать или редактировать секреты после сохранения, генерирует +/- случайные пути к файлам и т.д. Просто в случае gitea знаешь на что подписался: она идет бесплатно и нужное приходится доделывать самому. А тут вроде деньги заплатил, а нужное приходится доделывать самому :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26 Ответы: #29

29. Сообщение от freehck (ok), 31-Авг-22, 23:44	+/–
>> Давно уже в Community Edition, то есть бесплатно. > а гитлабовцы пишут, что премиум А, эти зеркала. Пардон. Я подумал, что речь про registry mirror. Да, эти -- пока только в премиуме. Но у меня для этого shell-скрипт есть. Наваял буквально за час, там ведь надо по сути всего-ничего: git clone --mirror / git push --mirror. Само собой, что покупать ради этого премиум -- нонсенс. >> Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него. > курлом что ли? тогда между пайплайнами нет связи и, если пайплайн безопасников выполнился не успешно, то пайплайн разработчиков об этом никак не узнает. Я нашел только открытые тикеты на эту тему Держи: https://gitlab.com/almaops/gitlab-trigger-deploy Я этот скрипт написал лет пять назад, когда впервые столкнулся с данным вопросом. Используем для деплоев в основном, но по сути он триггерит пайплайн другого проекта, дожидается его завершения и наследует его статус. Спецом для делплоев обернул полгода назад в контейнер, ибо это применение триггера -- самое частое. >> Но в конечном итоге её ж пофиксили. > мы уже извернулись через отправку почты и чаты. Криво, но три года ждать не могли. А мы -- через allure и pages. Старый проверенный надёжный инструмент. >> В любом случае mask -- это не 100% защита, и это надо понимать. > да это понятно, учитывая, в т.ч. и доступ к .gitlab-ci. Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче. > Но к примеру тот же дженкинс не позволяет просматривать или редактировать секреты после сохранения, генерирует +/- случайные пути к файлам и т.д. Ну, при наличии доступа к скрипту пайплайна -- это что в дженкинсе, что в гитлабе обходится на раз-два. Тут не о чем спорить. Суть в том, что маскировка переменных -- не более чем защита на случай, если сам ошибёшься где-то. Для защиты секретов нужен protected-бранч с ответственным мейнтейнером во-первых, во-вторых vault как второй уровень защиты, и в-третьих строго прописанные регламенты гитфлоу, в которых зафиксирована ответственность мейнтейнера в случае компрометирующих секреты правок в пайплайн. > Просто в случае gitea знаешь на что подписался: она идет бесплатно и нужное приходится доделывать самому. А тут вроде деньги заплатил, а нужное приходится доделывать самому :) Понимаю, но у меня с gitlab ровно та же песня: подавляющее большинство инсталляций -- именно community edition. А нужный платный функционал реализован своими скриптами. Большинству клиентов это как раз очень нравится: то, что можно обойтись бесплатной версией гитлаба, но за счёт нашей экспертизы использовать его на полную мощность. Я ничего не имею против gitea, однако gitlab допиливать нужно кратно меньше: а подавляющему большинству и вовсе хватает бесплатной версии "как она есть".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28 Ответы: #31

30. Сообщение от InuYasha (??), 01-Сен-22, 00:14	+/–
CGit на C.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #36

31. Сообщение от Аноним (24), 01-Сен-22, 00:55	+/–
> Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче. ну вот либо используешь возможности гитлаба и живешь без protected-бранчей или с лишними мэнтейнерами, либо подставляешь костыли Вроде у них в планах есть переделка прав и ролей, но неизвестно когда спасибо за скрипт. Я вспомнил, что находил уже подобное https://gitlab.com/finestructure/pipeline-trigger только не помню, почему не использовали
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29 Ответы: #34

32. Сообщение от Ананоним (?), 01-Сен-22, 01:56	+/–
Тссссссс! Не пали фичу!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

34. Сообщение от freehck (ok), 01-Сен-22, 10:47	+/–
>> Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче. > ну вот либо используешь возможности гитлаба и живешь без protected-бранчей > или с лишними мэнтейнерами, либо подставляешь костыли Ну я бы не сказал, что это прям костыли. Я видел много систем CI/CD. И везде приходилось что-то допиливать. В gitlab приходилось допиливать меньше всего. Где-то у меня был драфт заметки о недостатках скриптования пайплайнов в разных CI/CD системах, можно было бы её поднять и актуализировать. Я в итоге пришёл к тому, что gitlab меня устраивает куда больше всех прочих, и последний год я сижу исключительно на нём. А так-то, если подумать, мог бы написать сравнение с jenkins, travis, circle, codefresh, drone, teamcity и gitea. Благо, опыт имеется. Справедливости ради, в некоторых из них есть фишки, которых в gitlab нету, в том же teamcity или travis например. Некоторые предоставляют больше возможностей сделать что-то нестандартное, хоть тот же jenkins. Правда, в его случае начинает играть человеческий фактор, и люди начинают повально велосипедить, так что ещё не факт, плюс ли это. > Вроде у них в планах есть переделка прав и ролей, но неизвестно когда По опыту скажу: вряд ли этого стоит ждать когда-либо. Очень вряд ли. > спасибо за скрипт. Я вспомнил, что находил уже подобное https://gitlab.com/finestructure/pipeline-trigger > только не помню, почему не использовали Посмотрел на скрипт. Догадываюсь, почему его не хотелось использовать. Впрочем, если иных обходных решений не было, не могу понять, почему не использовали, даже если не хотелось. Вполне сошёл бы за основу.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31

35. Сообщение от freehck (ok), 01-Сен-22, 13:36	+/–
>>в том же яндексе виртуалка с минимальной конфигурацией >>насколько ж бизнес должен быть мелким > насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса? Дорогой. Прежде, чем рассуждать об интеллектуальных качествах собеседника, подумай о следующем: вот пришёл к тебе клиент, у которого уже есть инфраструктура, купленная у конкретного вендора, и она его устраивает; ты будешь ему вендора менять только потому, что текущий -- неправославный? Или всё-таки выполнишь только ту работу, на которую подрядился?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27

36. Сообщение от Аноним (36), 01-Сен-22, 16:00	+1 +/–
> CGit на C. И кстати не замечен в приколах вида "вторая за неделю критическая уязвимость". Наверное потому что не пытается быть энтерпрайзным монстром пытающимся решать все проблемы человечества, вместо того чтобы быть интерфейсом к DVCS.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30

37. Сообщение от Аноним (-), 01-Сен-22, 17:20	+/–
> Какая-то хэрня... у любого девелопера всё равно есть права в .gitlab-ci.yml прописать > любую команду и runner её выполнит ) На третий день Зоркий Глаз заметил что вебмакаки не умеют в безопасность систем.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

38. Сообщение от Аноним (-), 01-Сен-22, 17:23	–1 +/–
> насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса? Это freehck, он давно себя гением мысли зарекомендовал. На аву посмотри, лол.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27