安全极狐GitLab

一般信息#

此部分涵盖有关平台的一般信息和建议。

• 密码和 OAuth 令牌存储
• 通过集成认证创建的用户的密码生成
• CRIME 漏洞管理
• 第三方集成的密钥轮换

建议#

有关改进极狐GitLab 环境安全状况的更多信息，请参阅加固建议。

防病毒软件#

通常，不建议在极狐GitLab 主机上运行防病毒软件。但是，如果必须使用，应将系统上极狐GitLab 的所有位置排除在扫描之外，因为它可能会被隔离为误报。

具体来说，应将以下极狐GitLab 目录排除在扫描之外：

• /var/opt/gitlab
• /etc/gitlab/
• /var/log/gitlab/
• /opt/gitlab/

您可以在Linux 软件包配置文档 中找到所有这些目录。

用户账户#

• 查看认证选项。
• 修改密码复杂度要求。
• 限制 SSH 密钥技术并要求最低密钥长度。
• 通过注册限制来限制账户创建。
• 在新账户创建时发送电子邮件确认
• 强制双重认证 要求用户启用双重认证。
• 限制多个 IP 地址登录。
• 如何重置用户密码。
• 如何解锁被锁定的用户。

数据访问#

• 项目成员的安全考虑因素。
• 保护并移除用户文件上传。
• 为用户隐私代理链接图片。

平台使用与设置#

• 查看极狐GitLab 令牌类型及其用途。
• 如何配置速率限制以提高安全性和可用性。
• 如何过滤出站 Webhook 请求。
• 如何配置导入导出限制和超时。
• 查看 Runner 安全注意事项和建议。
• 查看 CI/CD 变量安全注意事项。
• 查看流水线安全性以了解在 CI/CD 流水线中使用和保护密钥。
• 实例范围的合规性和安全策略管理。

打补丁#

极狐GitLab 私有化部署客户和管理员负责其底层主机的安全，并保持极狐GitLab 本身的更新。重要的是定期为极狐GitLab 打补丁，为您的操作系统及其软件打补丁，并按照供应商指导加固您的系统。

监控#

日志#

• 查看极狐GitLab 生成的日志类型和内容。
• 查看 Runner 任务日志信息。
• 如何使用关联 ID 追踪日志。
• 日志配置与访问。
• 如何配置审计事件流式传输。

响应#

• 响应安全事件。

速率限制#

有关速率限制的信息，请参阅速率限制。