这是一个反馈问题,用于了解该问题是否具有广泛的影响。

情况:

当使用 GitLab CI 与 docker-executor 时,正在使用的存储库的 ‘git clone’ 是

这实际上使得所有克隆的内容都可在全球范围内写入。

按原样运送这些文件(例如在 Docker 镜像中)可能会产生巨大的安全问题,具体取决于软件。

至少在我们的案例中,工作流程
GitLab CI -> docker-executor -> 从 repo 构建和上传 docker 镜像
是我们最主要的工作,最终我们得到了包含全球可写代码的 docker 镜像。

在研究该问题时,我们发现:

  • 它自 2015 年底就出现了,但几乎没有人谈论它
  • 自 2020 年底以来,有(FF_DISABLE_UMASK_FOR_DOCKER_EXECUTOR),但也没人谈论它

这样我们就剩下 3…

问题):

  1. 没有人这样使用 GitLab 吗?
  2. 每个人总是对来自存储库 / 输出的所有内容进行 chmod 吗?
  3. 是否有大量带有全球可写代码的软件发行版?

2

  • 您可能想尝试,尽管与 Docker 安全或代码流水线安全相关的大多数主题都很原始并且大多数还没有好的答案。


    – 

  • 我看不出这怎么会是基于观点的。显然,意外地让全世界可写的文件是一个安全问题并不是一个观点。我问的是社区是否意识到了这个巨大的陷阱。


    – 

0