保护 GitLab

一般信息

本节涵盖关于平台的一些一般信息和建议。

• 密码和 OAuth 令牌的存储方式。
• 通过集成认证创建的用户密码是如何生成的。
• 我们如何管理 CRIME 漏洞。
• 第三方集成的密钥应定期轮换。

建议

有关提高 GitLab 环境安全态势的更多信息，请参阅安全加固建议。

杀毒软件

通常不建议在 GitLab 主机上运行杀毒软件。

但是，如果必须使用，应该将系统上所有 GitLab 的位置排除在扫描之外，因为它们可能被误判为威胁而被隔离。

具体来说，您应该将以下 GitLab 目录排除在扫描之外：

• /var/opt/gitlab
• /etc/gitlab/
• /var/log/gitlab/
• /opt/gitlab/

您可以在 Linux 包配置文档 中找到所有这些目录的列表。

用户账户

• 查看认证选项。
• 配置密码长度限制。
• 限制 SSH 密钥技术并要求最小密钥长度。
• 通过注册限制限制账户创建。
• 注册时发送电子邮件确认
• 强制执行双因素认证，要求用户启用双因素认证。
• 限制来自多个 IP 地址的登录。
• 如何重置用户密码。
• 如何解锁被锁定的用户。

数据访问

• 项目成员身份的安全考虑。
• 保护和删除用户文件上传。
• 代理链接图片以保护用户隐私。

平台使用和设置

• 查看 GitLab 令牌类型和用途。
• 如何配置速率限制以提高安全性和可用性。
• 如何过滤出站 webhook 请求。
• 如何配置导入和导出限制及超时。
• 查看 Runner 的安全考虑和建议。
• 查看 CI/CD 变量的安全考虑。
• 查看 CI/CD 管道中密钥的使用和保护安全。
• 实例范围的合规性和安全策略管理。

补丁管理

GitLab 自托管客户和管理员负责其底层主机的安全性，并保持 GitLab 本身更新。重要的是要定期修补 GitLab，修补您的操作系统及其软件，并根据供应商指导加固您的主机。

监控

日志

• 查看 GitLab 生成的日志类型和内容。
• 查看 Runner 作业日志信息。
• 如何使用关联 ID 跟踪日志。
• 日志配置和访问。
• 如何配置审计事件流。

响应

• 响应安全事件。

速率限制

有关速率限制的信息，请参阅速率限制。