Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 17.9.2, 17.8.5 и 17.7.7, в которых устранена уязвимость (CVE-2025-25291, CVE-2025-25292), позволяющая обойти аутентификацию на базе SAML (Security Assertion Markup Language). Уязвимость присутствует в Ruby-библиотеке ruby-saml, реализующей функции для SAML-авторизации. Кроме GitLab уязвимость затрагивает и другие проекты, использующие данную библиотеку. Проблема устранена в обновлениях ruby-saml 1.18.0 и 1.12.4...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62876
GitLab - это яркий демонстратор того что не надо писать сложные вещи на Ruby. Жрёт память, еле шевелится, завышенные системные требования.
Да, это просто ад для меинтейнера и сисадмина.
Я как то пробовал ставить из портов это поделие на фре, так оно поставило более 600 портов и в итоге так и не заработало :)У меня на десктопе стоит 1к портов, но минимально как раз тоже примерно 600 надо для ДЕ с комфортом.
Ну тут либо фря не подходит как платформа для работы сложного софта, либо админ неопытный. На линуксе в кубернетесе опыт эксплуатации с ~300 девелоперов могу оценить как приемлимый. Каких-то особых сложностей (и уж тем более чтобы не заработало) не вспоминается, даже бэкапы восстанавливать не приходилось.
зачем для веб-морды гита кластер, если у тебя всего 300 клиентов? это ненормально
Ну есть кластер, почему бы не использовать его и для гит-морды? Там же не только Гитлаб крутится.
да какой это кластер, рантайм помойка, повторяющая функции systemd, дополнительный слой и тормозав случае реального scale out - внешний балансировщик между нодами, смех
оркестратор шареного хостинга ))))
Ты точно кубом пользовался или на опеннете про него прочитал?
то что ты мыслишь стереотипами - не моя пробелема
меня с ним заставляли работать. тормозит гораздо сильнее, чем даже systemd
Оу. Великий "организатор совещаний через cron" (тм) и в gitlab дальше оглавления(тм) не заглядывал? Ну... Ожидаемо, чоужтам.
Потому что этот кластер в первую очередь обеспечивает удобные и простые способы деплоя.
Альтернативы flux+helm это либо отписываться с ног до головы своим ансиблом и поддерживать его или как дурачок настраивать все ручками и бекапить стейт.
кластер в первую очередь это обеспечение scale out и HA,а то что у тебя зверинец для деплоймента, то это не причина иметь "кластер" )))
А вот и блюстители Единственно™ Верного™ Применения™ кластеров в тред пожаловали со своим ценным мнением, что дозволено, а что нет.
> А вот и блюстители Единственно™ Верного™ Применения™ кластеров в тред
> пожаловали со своим ценным мнением, что дозволено, а что нет.ты конечно можешь сношать кого угодно, но ты врядли будешь называть кота собакой
> кластер в первую очередь это обеспечение scale out и HA,
> а то что у тебя зверинец для деплоймента, то это не причина
> иметь "кластер" )))Ну, персонально у меня gitlab развернут в отдельном кластере куба - как раз по причине того, что эластично скейлить охапки раннеров для CI\CD сильно проще и дешевле для конечного заказчика, нежели поднимать вот это все на пуле выделенных под это дело хронически недо\перегруженных виртуалок. А в "отдельном" по причине фетвы от инфобезников, которым запуск полунедоделанных ошметков сока мозга чатжпт со стековерфлоу "почему-то" не нравится.
ты не поверишь, но раннер и сам гитлаб вообще не зависят друг от друга в плане деплойментаи вообще могут находиться в разных частях света
коментировать остальной "поток сознания" особенно про "эластично скейлить" (бугага), виртуалки и прочее я не хочу ))
> ты не поверишь, но раннер и сам гитлаб вообще не зависят друг
> от друга в плане деплоймента
> и вообще могут находиться в разных частях света
> коментировать остальной "поток сознания" особенно про "эластично скейлить" (бугага),
> виртуалки и прочее я не хочу ))У любителей гамаков и лыж - да. У остальных - если отдельный кластер уже есть, то развертывают - ну вот в ем, а не "из портов на фре" рядышком собирают.
>> ты не поверишь, но раннер и сам гитлаб вообще не зависят друг
>> от друга в плане деплоймента
>> и вообще могут находиться в разных частях света
>> коментировать остальной "поток сознания" особенно про "эластично скейлить" (бугага),
>> виртуалки и прочее я не хочу ))
> У любителей гамаков и лыж - да. У остальных - если отдельный
> кластер уже есть, то развертывают - ну вот в ем, а
> не "из портов на фре" рядышком собирают.я не понимаю твой новогейский, а касательно того, где по-русски написано:
1) это близко не кластер, а шляпный оркестратор, но если назвать кластером, то можно больше втюхать
2) наличие этой помойки не означает что ей нужно затыкать все дырки (даже если у тебя есть "кластер" бугагага)
Ну расскажи всем как бекапить стейки. Я обвно их ем
Не, кубертинес не считается, это костыль где фактически эмулируется мамкин компуктер на котором разраб пилил свою поделку.
Да и меня на локалхосте работает. Хз какие там у него проблемы. И разрабы у нас так же говорят хз почему в проде софтварь не работает, на моем компе проблем нет.
Ну, это так то камень в огород фри, а не ruby с гитлабом - если вместо абсолютно беспроблемного деплоя хоть контейнером, хоть пакетом приходится вот это всё на лыжах под водой гамакать - чот в консерватории не то.
Не, это современный деплой пошёл не туда, когда уже скоро и пинг будут пихать в отдельный контейнер.Пока я вижу что в руби и питоне проблема с зависимостями стоит остро и меинтейнить проекты тяжело, вот го и раст вполне умеют сразу всю кучу зависимостей аккуратно запихать внутрь.
У С/С++, пхп - традиционно зависимостей мало.
> Не, это современный деплой пошёл не туда, когда уже скоро и пинг
> будут пихать в отдельный контейнер."Как будто в этом есть что-то плохое!"(Ц). К chroot'ам и jail'ам поди претензий не было? :)
А сейчас вот так. Магистральное направление развития ойтишечки в этих наших нескучных. Сколько-нибудь вменяемой модели безопасности - не завезли и уже не завезут, текущая инфраструктура распространения приложений того-с, неадекватна реалиям, вот, будем кушац снапы-флетпаки-OCI-compatible-images и вот это вот все.
Накладные расходы достаточно низкие, мощности железа позволяют - так что пуркуа бы и не па?> Пока я вижу что в руби и питоне проблема с зависимостями
> стоит остро и меинтейнить проекты тяжело, вот го и раст вполне
> умеют сразу всю кучу зависимостей аккуратно запихать внутрь.Смешались в кучу кони, люди...(С)
1. "Проблема зависимостей" есть примерно везде, где есть сами зависимости. version hell\dll hell не дадут соврать.
2. "Понь-цептуально" решаются они везде не сказать, чтобы хорошо.
3. А вот "частно" путем изоляции этих самых зависимостей они не то, чтобы решаются - но более, чем эффективно делаются "не проблемой конечного потребителя". Условно - у программиста проблема все еще есть, а у конечного пользователя - неа, нету.
4. И от механизма этой самой "изоляции" тут примерно ничего не зависит - хошь в один бинарник статически паковань и раскидывай, хошь - в аппимагу, хошь вот в контейнер или даже в снап с флетпаком.
5. Таки да, этот процесс вызывает свои проблемы, (не)решаемые с той или иной эффективностью (Затыкание CVE _в системе_ может оказаться м-мммм... увлекательным занятием) - но мир не совершенен :).
6. А проблемы _мейнтейнеров_ примерно "никого" кроме их самих не волнуют - они в этом подходе быстро становятся пятым колесом в телеге. Снап\флатпак\контейнер делает разработчик, а майнтейнер... нууу... Вот федоровский немножко вредит, да.
7. Система, которая всю вот эту вспышку прохлопала примерно "полностью" - по современным меркам ну оооочень так себе система. Для желающих быть "сам себе мейнтейнером" - но чоуж жаловаться-то тогда? "Мужик, ты ж сюда не охотиться пришел, да?"(С)Ну и отдельно, без номера - сравнивать компилируемые языки с интерпретируемыми в этом контексте - ну оооочень странная идея.
> У С/С++, пхп - традиционно зависимостей мало.
У сей и плюсов ситуация а) разная б) для вторых еще и специфична в контексте системы\платформы. Скажем, считать ли, что зависимость "от QT" это "мало" или уже и "не совсем" вопрос ооооочень дискуссионный :).
Про php, извиняюсь, не в курсе.
> "Как будто в этом есть что-то плохое!"(Ц). К chroot'ам и jail'ам поди претензий не было?они никогда не предназначались для того чтоб альтернативно-одаренные разработчики могли не уметь не то что в совместимость, а хотя бы в то чтоб поделка собиралась не только вообще на одном лишь их избранном локалхосте.
Ну да - с фантазией у дiдов чуть победнее было, любой проктолог со стажем подтвердит...
дай угадаю - из тех 600 - 590 - это лефтпады на самом же ruby. Боюсь что это проблема организации портов во фре.И в итоге не заработало потому что один из 600 оказался уже не той версии с которой тестировали сборку.
> дай угадаю - из тех 600 - 590 - это лефтпады на самом же ruby.Не, там полно и каноничных лефтпадов
Ага, примерно так и было.
Проблема ли это гитлаба или тех кто мейнтейнит ваши бзди? 🤔
Работает оно на фряхе. Но сборка из портов это мелочи на фоне:
su -l git -c "cd /usr/local/www/gitlab && yarn install --production --pure-lockfile"
su -l git -c "cd /usr/local/www/gitlab && RAILS_ENV=production NODE_ENV=production USE_DB=false SKIP_STORAGE_VALIDATION=true bundle exec rake gitlab:assets:compile"Также для сборки + работы гитлаба нужны: go 1.22, go 1.23 (да, 2 разные версии), ruby, python, node.
Большего зоопарка в рамках одного софта я пока не видел за 25 лет.
> Большего зоопарка в рамках одного софта я пока не видел за 25 лет.шо там в Requires :)
https://ports.freebsd.org/cgi/ports.cgi?query=gitlab-ce&styp...
интересно, зачем им - ffmpeg в зависимостях? Кинчик между комитами показывать, про Big Bunny?
Есть там фича с записью видео для тестов. Хотя по хорошему конечно эта зависимость должна быть опциональной
> Есть там фича с записью видео для тестов.АААААА!!!!
> Хотя по хорошему конечно эта зависимость должна быть опциональнойона может и опциональна, но ты не собираешься делать ручной make config на все эти 600 зависимостей прямого и 1800 косвенного порядка.
Это какая-то опциональная и не прямая зависимость. У меня его нет на серверах с гитлабом.
Порядка 600 портов с gem-ами - это конечно да!Ещё забыл - для сборки парочки gem-ов нужен так сильно обожаемый местной шк0л0л0 хруст.
Прямо вишенка на торте!
Это всё зависимости зависимостей.
Прямые зависимости вот https://www.freshports.org/www/gitlab и ffmpeg там нет.
Так я пробовал раз лет 6 назад, потом там через пару дней вроде что то откатили и оно заработало но было уже поздно.
Мы на гитеи жили прекрасно.
ну это значит что вам и не нужна была совместная разработка. Порежьте помельче, пришлите в рассылку. Или даже и такого не было - кто чо накомитил, осенью посчитаем.Могли бы и вообще в стиле местного сумасшедшего - секретные бандлы в секретном чятике друг-дружке пересылать.
гитляп, повторяю, это не замена отсутсвующей у гита авторизации и разделения пользователей. Это средство коллективной работы с кодом, прежде всего. Тот самый "чятик для разработчиков". Со стикерами и эмодзишечками.
> гитляп, повторяю, это не замена отсутсвующей у гита авторизации и разделения пользователей.
> Это средство коллективной работы с кодом, прежде всего. Тот самый "чятик
> для разработчиков". Со стикерами и эмодзишечками.И в этом виде она мне - как "не разработчику" очень так себе, кстати. Вся проектная часть через 33 интеграции в жире, постановки - то самое "что и почему сделано" - в конфе, инструментов для review\совместной работы не то, чтобы "не достаточно", но не сказать, чтобы "сколько-нибудь удобно" - в общем, с какой стороны не глянь, прям столько вокруг обмазывать надо, что б-жеж ты мой.
Пока что самое лучшее видел в этом смысле - это space от jetbrains в связке с teamcity и youtrack - почти бесшовно, но только "почти".
> И в этом виде она мне - как "не разработчику" очень так себе, кстати.как будто у тебя выбор есть :-(
от жьiдбрейнс нам ничего не надоть, я с их поделкой upsource намучался (и пачаму не на том йезыке?!) - а оно ни разу не бесплатное.
Так что наслаждайтесь гитляпом - навернется, с бэкапа переставишь. Зато стикерпаки.
Говорю же - gitea хватает.
Забавно такое читать. Ну то есть, когда ты ставишь git из портов, ты не видишь, что по зависимостям притягивается тот же ruby, rust и два вагона всяких кортежей? :D
Нет, это пример как не надо писать сложные проекты на любом языке. С теми практиками, которые используют в Гитлабе, он будет одинаково отвратительно работать на любом языке.
Это мы ещё исходной код Mastodon не рассматривали.
> Это мы ещё исходной код Mastodon не рассматривали.погодите, он разьве ж не на пихоне?!
Кто нибудь вообще воспринимает этот гитлаб в серьез? Это же васяноподелие жуткое, и ведь им в проде пользуются(знаю одну корпу, у которой в сеть светит страничка авторизации их гитлаба, со всеми репами и прочим).
Как по мне, оно хайпануло только из за нетакусиков, во первых, потому что не гитхаб(хотя чем плох гитхаб никто сказать не может), а во вторых, потому что оно родом из страны, поддерживать которую сейчас модно.
> потому что не гитхаб(хотя чем плох гитхаб никто сказать не может)тем, что это мелкомягкие, зачем дурачком прикидываешься?
а вот о том, что гитлаб арендует сервера у мелкомягких, почему-то все молчат
> тем, что это мелкомягкиеА чем это плохо-то? Платиновый спонсор разработки Линукса, между прочим. Их вклад в опенсорс в месяц больше, чем у всего опеннета вместе взятого за всю историю его существования.
Потому что дурачок тут только ты, и даже не прикидываешься.Всем совершенно плевать на бредни нетакусиков о проклятой вездесущей microsoft.
Но вот складывать исходники и всю околопроектную деятельность в чужие облачка, действительно готовы оказываются не все. А кому-то и законодательство прямо запрещает.
(github enterprise то такоэ... во-первых, подписка в любой момент может подорожать или вовсе закончиться, во-вторых если ты его поставишь, то с удивлением узнаешь что даже серверная изолированная версия мнэ...не совсем изолированная. Про цену уж не будем - "call!")
Всё там в порядке и с изоляцией, и с ценником, и даже с поддержкой. Госдеп США устраивает, авось и твоему подвалу сгодится. Проблемы с законодательством (кстати, ссылки на соответствующие нормативные документы не покажешь?), ценами, и внезапными отключениями свойственны только слаборазвитым странам, всячески стремящимся покинуть лоно цивилизации. И эти проблемы хостинг кода решить не может, и не должен.
> Госдеп США устраиваетПотому что они в одной юрисдикции.
> Проблемы с законодательством (кстати, ссылки на соответствующие нормативные документы не покажешь?), ценами, и внезапными отключениями свойственны только слаборазвитым странамЭто ЕС слаборазвитые?
>> Госдеп США устраивает
> Потому что они в одной юрисдикции.В той юрисдикции надысь уволили половину госдепа. Уцелевшим не до выбора нормальной платформы, им бы до пенсии дотянуть.
> Это ЕС слаборазвитые?
Конечно.
Вон из недавних разгромных новостей как они америку импортозаместили:"Берлин в январе - в одном из последних пакетов - передал Украине 60 ракет к IRIS-T".
Понимаешь - 60 ШТУК. В МЕСЯЦ. Крупнейшая экономика гейропы.Какого лешего мы до сих пор баварское не пьем, и все бесплатно и в любом количестве, в счет репараций - я решительно не понимаю.
Чем плоха арендованная квартира, только дураки живут в собственном жилье!
А все рассказы про то что владелец арендованной квартиры может тебя выгнать в любой момент, полна чушь! Как он меня выгонит, я же ему за это деньги плачу!
А без котёнка с дверцей сможешь объяснить что не так? Гит — система распределённая, можешь свои нетленки на все известные человечеству хостинги кода залить, и пусть потом опеннет спорит где оригинал, а где копия. Может для меня оригинал только на моём лаптопе, всё остальное — резервные копии. Или скажешь, что резервное копирование не нужно?
Да можешь и не заливать, чоужтам. С такими предложениями она все равно нах (прости, пох!) никому не нужна.
> Кто нибудь вообще воспринимает этот гитлаб в серьез?Все кто не собирается хранить свои исходники в _чужом_ облачке.
> Это же васяноподелие жуткое
твой обожаемый гитляп - такое же точно васяноподелие причем на том же самом нескучненьком язычке.
Просто тебе не дадут исходник забесплатно скачать без смс, чтоб ты пальцем не тыкал в ляпы и не глумился, вот и вся разница.К сожалению, других средств коллективной работы над проектами у меня для вас, _уже_, нет.
> К сожалению, других средств коллективной работы над проектами у меня для вас, _уже_, нет.Да их и не было особо. Первый _продукт_, которым было удобно пользоваться — это как раз ГитХаб, не диво что его Майкрософт купил. Остальные в то время всё ещё пытались вывести более быструю лошадь^W^W^W^Wсделать более удобный sourceforge.
Как мы жили до прихода священного платинового спонсора - ума не приложу!Купил он его потому что продавалось. А Гренландия - не продается.
> К сожалению, других средств коллективной работы над проектами у меня для вас, _уже_, нет.st.ht? gitea/forgejo? ну если хочется у кого-то еще, есть codeberg для попенсорса и какие-нибудь мелкие хостинги типа сберовского gitflic
> st.ht?можно я не буду это комментировать даже, вместе с сберфриком?
> gitea/forgejo?
это корявый веб-интерфейс для авторизации в гите, не умеющем из коробки даже этого. Причем тут коллективная работа над проектами? Она вообще не требует обязательной поддержки vcs.
(собственно, в одном поддерживаемом проекте - не смотря на гитлаб - вполне себе используется внешнее решение. Потому что разработчики немодные и новые наборы стикеров им не зашли.)
> Как по мне, оно хайпануло только из за нетакусиков, во первых, потому что не гитхаб(хотя чем плох гитхаб никто сказать не может)Оно хайпонуло из-за того, что полностью OSS + self-hosted + универсальное CI/CD. Универсальное тем, что нейтрально смотрит на языки программирования, на которых идёт сборка, в отличие от TeamCity, Bamboo и подобных систем, где система CI/CD суёт свой нос в нюансы сборки каждого языка и пытается сделать под всё интерфейс с полями и менюшечками. А в GitLab ничего такого не пытается, CI/CD там это чистый хардкорный YAML-код с великолепными возможностями по оптимизации anchor'ами, extend'ами и include'ами. Это всё и подкупает.
Впрочем Gitea, за последнее время, тоже неплохо догнали GitLab по функционалу и CI/CD там сейчас не хуже GitLab'овского, тоже YAML-код сомвестимый по большей части с GitHub Actions по синтаксису. Раньше с Gitea приходилось использовать Drone CI, а сегодня уже встроенный CI/CD можно спокойно использовать и она легковеснее GitLab - это для тех, кого заботит бюджет и экономит ресурсы, а на практике, большенству компаний пофиг сколько ресурсов жрёт система и без раздумий выбирают GitLab.
Автор! Обязательно пиши в какой версии уязвимость появилась.
> Уязвимость вызвана различиями в разборе XML-документов парсерами ReXML и Nokogiri,Как вы яхту назовете... тоже мне, нога с гирей. И бегает соответственно.
А в России есть аналогичные продукты которые можно поставить в качестве веб-морды CVS? Не обязательно для Git.
GitFlic? (: У них там картинка для 404 страницы еще зачетная - медведь, горящий в машине.
gitolite и все дела (:
Хотя и GitLab - тоже норм, правда, за большое количество пользователей и проектов сказать не могу. Ставил его на bare metal k8s, ставил и без, ставил с птицей, ставил с проводницей. Лепил CI/CD, правда мало. Все работало.Самому лично GitLab по нраву тем, что можно его развернуть у себя, можно и не у себя. Там есть группы для репозиториев и мне это по нраву, а, насколько помню, в Github'e и Гитее такого нет, но могу и ошибаться.
А то что софт надо обновлять - ну так то не новость.