https://www.opennet.ru/openforum/vsluhforumID3/128312.html Компания GitLab опубликовала очередную серию корректирующих обновлений своей платформы для организации совместной разработки - 15.3.2, 15.2.4 и 15.1.6, в которых устранена критическая уязвимость (CVE-2022-2992), позволяющая аутентифицированному пользователю удалённо выполнить код на сервере. Как и уязвимость CVE-2022-2884, исправленная неделю назад, новая проблема присутствует в API для импорта данных из сервиса GitHub. Уязвимость проявляется в том числе в выпусках 15.3.1, 15.2.3 и 15.1.5, в которых была исправлена первая уязвимость в коде импорта из GitHub...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57704<br> https://www.opennet.ru/openforum/vsluhforumID3/128312.html#39 Sat, 03 Sep 2022 21:51:26 GMT а если я вынесу в отдельную репу .gitlab-ci.yml и не дам права - сможешь прописать что-то на выполнение?)<br> https://www.opennet.ru/openforum/vsluhforumID3/128312.html#38 Thu, 01 Sep 2022 14:23:39 GMT &gt; насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса?<br><br>Это freehck, он давно себя гением мысли зарекомендовал. На аву посмотри, лол.<br> https://www.opennet.ru/openforum/vsluhforumID3/128312.html#37 Thu, 01 Sep 2022 14:20:45 GMT &gt; Какая-то хэрня... у любого девелопера всё равно есть права в .gitlab-ci.yml прописать <br>&gt; любую команду и runner её выполнит ) <br><br>На третий день Зоркий Глаз заметил что вебмакаки не умеют в безопасность систем.<br> https://www.opennet.ru/openforum/vsluhforumID3/128312.html#36 Thu, 01 Sep 2022 13:00:23 GMT &gt; CGit на C.<br><br>И кстати не замечен в приколах вида "вторая за неделю критическая уязвимость". Наверное потому что не пытается быть энтерпрайзным монстром пытающимся решать все проблемы человечества, вместо того чтобы быть интерфейсом к DVCS.<br> https://www.opennet.ru/openforum/vsluhforumID3/128312.html#35 Thu, 01 Sep 2022 10:36:10 GMT &gt;&gt;в том же яндексе виртуалка с минимальной конфигурацией <br>&gt;&gt;насколько ж бизнес должен быть мелким <br>&gt; насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса?<br><br>Дорогой. Прежде, чем рассуждать об интеллектуальных качествах собеседника, подумай о следующем: вот пришёл к тебе клиент, у которого уже есть инфраструктура, купленная у конкретного вендора, и она его устраивает; ты будешь ему вендора менять только потому, что текущий -- неправославный? Или всё-таки выполнишь только ту работу, на которую подрядился?<br> https://www.opennet.ru/openforum/vsluhforumID3/128312.html#34 Thu, 01 Sep 2022 07:47:44 GMT &gt;&gt; Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче.<br>&gt; ну вот либо используешь возможности гитлаба и живешь без protected-бранчей<br>&gt; или с лишними мэнтейнерами, либо подставляешь костыли <br><br>Ну я бы не сказал, что это прям костыли. Я видел много систем CI/CD. И везде приходилось что-то допиливать. В gitlab приходилось допиливать меньше всего. Где-то у меня был драфт заметки о недостатках скриптования пайплайнов в разных CI/CD системах, можно было бы её поднять и актуализировать. Я в итоге пришёл к тому, что gitlab меня устраивает куда больше всех прочих, и последний год я сижу исключительно на нём. А так-то, если подумать, мог бы написать сравнение с jenkins, travis, circle, codefresh, drone, teamcity и gitea. Благо, опыт имеется.<br><br>Справедливости ради, в некоторых из них есть фишки, которых в gitlab нету, в том же teamcity или travis например. Некоторые предоставляют больше возможностей сделат https://www.opennet.ru/openforum/vsluhforumID3/128312.html#32 Wed, 31 Aug 2022 22:56:30 GMT Тссссссс! Не пали фичу!<br> https://www.opennet.ru/openforum/vsluhforumID3/128312.html#31 Wed, 31 Aug 2022 21:55:54 GMT &gt; Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче.<br><br>ну вот либо используешь возможности гитлаба и живешь без protected-бранчей или с лишними мэнтейнерами, либо подставляешь костыли<br>Вроде у них в планах есть переделка прав и ролей, но неизвестно когда<br><br>спасибо за скрипт. Я вспомнил, что находил уже подобное https://gitlab.com/finestructure/pipeline-trigger<br>только не помню, почему не использовали<br> https://www.opennet.ru/openforum/vsluhforumID3/128312.html#30 Wed, 31 Aug 2022 21:14:23 GMT CGit на C.<br>