极狐GitLab 加强推荐

这份文档是针对极狐GitLab 实例的，其中整体系统可以“加固”以抵御常见甚至不太常见的攻击。它不是为了彻底根除攻击，而是提供强有力的缓解，从而降低整体风险。一些技术适用于任何极狐GitLab 部署，如 SaaS 或私有化部署，而其他技术则适用于底层操作系统。

这些技术仍在进行中，尚未在大型环境中进行规模化测试（例如拥有许多用户的大型环境）。它们已在私有化部署的单实例运行 Linux 软件包安装上进行了测试，虽然许多技术可以转化为其他部署类型，但它们可能并不全部适用或有效。

列出的推荐中大多数提供具体建议或引用可以根据一般文档做出的选择。通过加固，可能会影响用户可能特别需要或依赖的某些功能，因此您应该与用户沟通，并逐步推出加固更改。

加固说明分为五个类别，以便于理解。它们在以下部分中列出。

极狐GitLab 加固一般概念

这详细介绍了加固作为一种安全方法和一些较大的哲学理念。有关更多信息，请参阅加固一般概念。

使用极狐GitLab GUI 对应用程序本身进行的应用程序设置。有关更多信息，请参阅应用程序推荐。

CI/CD 是极狐GitLab 的核心组件，虽然安全原则的应用是基于需求的，但您可以采取几种措施来使您的 CI/CD 更安全。有关更多信息，请参阅 CI/CD 推荐。

用于控制和配置应用程序（例如 gitlab.rb）的配置文件设置单独记录。有关更多信息，请参阅配置推荐。

您可以调整底层操作系统以提高整体安全性。有关更多信息，请参阅操作系统推荐。

您可以配置极狐GitLab 私有化部署以强制遵循 NIST 800-53 安全标准。有关更多信息，请参阅 NIST 800-53 合规性.