Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в библиотеке ruby-saml, приводящая к обходу аутентификации в GitLab"	+/–
Сообщение от opennews (??), 13-Мрт-25, 15:12
Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 17.9.2, 17.8.5 и 17.7.7, в которых устранена  уязвимость (CVE-2025-25291, CVE-2025-25292), позволяющая обойти аутентификацию на базе SAML (Security Assertion Markup Language). Уязвимость присутствует в Ruby-библиотеке ruby-saml, реализующей функции для SAML-авторизации. Кроме GitLab уязвимость затрагивает и другие проекты, использующие данную библиотеку. Проблема устранена в обновлениях ruby-saml 1.18.0 и 1.12.4... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62876
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

3. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+20 +/–
Сообщение от Анониматор (?), 13-Мрт-25, 15:21
GitLab - это яркий демонстратор того что не надо писать сложные вещи на Ruby. Жрёт память, еле шевелится, завышенные системные требования.
Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+3 +/–
	Сообщение от Ivan_83 (ok), 13-Мрт-25, 15:47
	Да, это просто ад для меинтейнера и сисадмина. Я как то пробовал ставить из портов это поделие на фре, так оно поставило более 600 портов и в итоге так и не заработало :) У меня на десктопе стоит 1к портов, но минимально как раз тоже примерно 600 надо для ДЕ с комфортом.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+2 +/–
	Сообщение от Аноним (10), 13-Мрт-25, 16:21
	Ну тут либо фря не подходит как платформа для работы сложного софта, либо админ неопытный. На линуксе в кубернетесе опыт эксплуатации с ~300 девелоперов могу оценить как приемлимый. Каких-то особых сложностей (и уж тем более чтобы не заработало) не вспоминается, даже бэкапы восстанавливать не приходилось.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от 12yoexpert (ok), 13-Мрт-25, 16:24
	зачем для веб-морды гита кластер, если у тебя всего 300 клиентов? это ненормально
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от Аноним (10), 13-Мрт-25, 16:47
	Ну есть кластер, почему бы не использовать его и для гит-морды? Там же не только Гитлаб крутится.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	–2 +/–
	Сообщение от penetrator (?), 13-Мрт-25, 21:18
	да какой это кластер, рантайм помойка, повторяющая функции systemd, дополнительный слой и тормоза в случае реального scale out - внешний балансировщик между нодами, смех оркестратор шареного хостинга ))))
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+1 +/–
	Сообщение от Аноним (56), 14-Мрт-25, 01:02
	Ты точно кубом пользовался или на опеннете про него прочитал?
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от penetrator (?), 14-Мрт-25, 01:37
	то что ты мыслишь стереотипами - не моя пробелема
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от 12yoexpert (ok), 14-Мрт-25, 06:23
	меня с ним заставляли работать. тормозит гораздо сильнее, чем даже systemd
	Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

	29. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от User (??), 13-Мрт-25, 17:41
	Оу. Великий "организатор совещаний через cron" (тм) и в gitlab дальше оглавления(тм) не заглядывал? Ну... Ожидаемо, чоужтам.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	46. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+1 +/–
	Сообщение от йос (?), 13-Мрт-25, 21:14
	Потому что этот кластер в первую очередь обеспечивает удобные и простые способы деплоя. Альтернативы flux+helm это либо отписываться с ног до головы своим ансиблом и поддерживать его или как дурачок настраивать все ручками и бекапить стейт.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	48. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+2 +/–
	Сообщение от penetrator (?), 13-Мрт-25, 21:21
	кластер в первую очередь это обеспечение scale out и HA, а то что у тебя зверинец для деплоймента, то это не причина иметь "кластер" )))
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от Аноним (58), 14-Мрт-25, 01:42
	А вот и блюстители Единственно™ Верного™ Применения™ кластеров в тред пожаловали со своим ценным мнением, что дозволено, а что нет.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от penetrator (?), 14-Мрт-25, 01:47
	> А вот и блюстители Единственно™ Верного™ Применения™ кластеров в тред > пожаловали со своим ценным мнением, что дозволено, а что нет. ты конечно можешь сношать кого угодно, но ты врядли будешь называть кота собакой
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от User (??), 14-Мрт-25, 09:45
	> кластер в первую очередь это обеспечение scale out и HA, > а то что у тебя зверинец для деплоймента, то это не причина > иметь "кластер" ))) Ну, персонально у меня gitlab развернут в отдельном кластере куба - как раз по причине того, что эластично скейлить охапки раннеров для CI\CD сильно проще и дешевле для конечного заказчика, нежели поднимать вот это все на пуле выделенных под это дело хронически недо\перегруженных виртуалок. А в "отдельном" по причине фетвы от инфобезников, которым запуск полунедоделанных ошметков сока мозга чатжпт со стековерфлоу "почему-то" не нравится.
	Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

	64. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от Алконим (?), 14-Мрт-25, 05:25
	Ну расскажи всем как бекапить стейки. Я обвно их ем
	Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

	17. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+4 +/–
	Сообщение от Ivan_83 (ok), 13-Мрт-25, 16:38
	Не, кубертинес не считается, это костыль где фактически эмулируется мамкин компуктер на котором разраб пилил свою поделку.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	65. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+1 +/–
	Сообщение от Алконим (?), 14-Мрт-25, 05:31
	Да и меня на локалхосте работает. Хз какие там у него проблемы. И разрабы у нас так же говорят хз почему в проде софтварь не работает, на моем компе проблем нет.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	28. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	–2 +/–
	Сообщение от User (??), 13-Мрт-25, 17:38
	Ну, это так то камень в огород фри, а не ruby с гитлабом - если вместо абсолютно беспроблемного деплоя хоть контейнером, хоть пакетом приходится вот это всё на лыжах под водой гамакать - чот в консерватории не то.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	68. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+1 +/–
	Сообщение от Ivan_83 (ok), 14-Мрт-25, 06:40
	Не, это современный деплой пошёл не туда, когда уже скоро и пинг будут пихать в отдельный контейнер. Пока я вижу что в  руби и питоне проблема с зависимостями стоит остро и меинтейнить проекты тяжело, вот го и раст вполне умеют сразу всю кучу зависимостей аккуратно запихать внутрь. У С/С++, пхп - традиционно зависимостей мало.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от User (??), 14-Мрт-25, 09:37
	> Не, это современный деплой пошёл не туда, когда уже скоро и пинг > будут пихать в отдельный контейнер. "Как будто в этом есть что-то плохое!"(Ц). К chroot'ам и jail'ам поди претензий не было? :) А сейчас вот так. Магистральное направление развития ойтишечки в этих наших нескучных. Сколько-нибудь вменяемой модели безопасности - не завезли и уже не завезут, текущая инфраструктура распространения приложений того-с, неадекватна реалиям, вот, будем кушац снапы-флетпаки-OCI-compatible-images и вот это вот все. Накладные расходы достаточно низкие, мощности железа позволяют - так что пуркуа бы и не па? > Пока я вижу что в  руби и питоне проблема с зависимостями > стоит остро и меинтейнить проекты тяжело, вот го и раст вполне > умеют сразу всю кучу зависимостей аккуратно запихать внутрь. Смешались в кучу кони, люди...(С) 1. "Проблема зависимостей" есть примерно везде, где есть сами зависимости. version hell\dll hell не дадут соврать. 2. "Понь-цептуально" решаются они везде не сказать, чтобы хорошо. 3. А вот "частно" путем изоляции этих самых зависимостей они не то, чтобы решаются - но более, чем эффективно делаются "не проблемой конечного потребителя". Условно - у программиста проблема все еще есть, а у конечного пользователя - неа, нету. 4. И от механизма этой самой "изоляции" тут примерно ничего не зависит - хошь в один бинарник статически паковань и раскидывай, хошь - в аппимагу, хошь вот в контейнер или даже в снап с флетпаком. 5. Таки да, этот процесс вызывает свои проблемы, (не)решаемые с той или иной эффективностью (Затыкание CVE _в системе_ может оказаться м-мммм... увлекательным занятием) - но мир не совершенен :). 6. А проблемы _мейнтейнеров_ примерно "никого" кроме их самих не волнуют - они в этом подходе быстро становятся пятым колесом в телеге. Снап\флатпак\контейнер делает разработчик, а майнтейнер... нууу... Вот федоровский немножко вредит, да. 7. Система, которая всю вот эту вспышку прохлопала примерно "полностью" - по современным меркам ну оооочень так себе система. Для желающих быть "сам себе мейнтейнером" - но чоуж жаловаться-то тогда? "Мужик, ты ж сюда не охотиться пришел, да?"(С) Ну и отдельно, без номера - сравнивать компилируемые языки с интерпретируемыми в этом контексте - ну оооочень странная идея. > У С/С++, пхп - традиционно зависимостей мало. У сей и плюсов ситуация а) разная б) для вторых еще и специфична в контексте системы\платформы. Скажем, считать ли, что зависимость "от QT" это "мало" или уже и "не совсем" вопрос ооооочень дискуссионный :). Про php, извиняюсь, не в курсе.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+1 +/–
	Сообщение от нах. (?), 13-Мрт-25, 18:09
	дай угадаю - из тех 600 - 590 - это лефтпады на самом же ruby. Боюсь что это проблема организации портов во фре. И в итоге не заработало потому что один из 600 оказался уже не той версии с которой тестировали сборку.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	37. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от Аноним (37), 13-Мрт-25, 18:23
	> дай угадаю - из тех 600 - 590 - это лефтпады на самом же ruby. Не, там полно и каноничных лефтпадов
	Ответить | Правка | Наверх | Cообщить модератору

	61. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от Ivan_83 (ok), 14-Мрт-25, 03:59
	Ага, примерно так и было.
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	45. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от йос (?), 13-Мрт-25, 21:10
	Проблема ли это гитлаба или тех кто мейнтейнит ваши бзди? 🤔
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	55. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+1 +/–
	Сообщение от gitlib (?), 14-Мрт-25, 00:10
	Работает оно на фряхе. Но сборка из портов это мелочи на фоне: su -l git -c "cd /usr/local/www/gitlab && yarn install --production --pure-lockfile" su -l git -c "cd /usr/local/www/gitlab && RAILS_ENV=production NODE_ENV=production USE_DB=false SKIP_STORAGE_VALIDATION=true bundle exec rake gitlab:assets:compile" Также для сборки + работы гитлаба нужны: go 1.22, go 1.23 (да, 2 разные версии), ruby, python, node. Большего зоопарка в рамках одного софта я пока не видел за 25 лет.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	60. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от Аноним (60), 14-Мрт-25, 03:12
	> Большего зоопарка в рамках одного софта я пока не видел за 25 лет. шо там в Requires :) https://ports.freebsd.org/cgi/ports.cgi?query=gitlab-ce&styp...
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+1 +/–
	Сообщение от пох. (?), 14-Мрт-25, 08:53
	интересно, зачем им - ffmpeg в зависимостях? Кинчик между комитами показывать, про Big Bunny?
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от Ivan_83 (ok), 14-Мрт-25, 04:00
	Так я пробовал раз лет 6 назад, потом там через пару дней вроде что то откатили и оно заработало но было уже поздно. Мы на гитеи жили прекрасно.
	Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

	71. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+1 +/–
	Сообщение от пох. (?), 14-Мрт-25, 08:57
	ну это значит что вам и не нужна была совместная разработка. Порежьте помельче, пришлите в рассылку. Или даже и такого не было - кто чо накомитил, осенью посчитаем. Могли бы и вообще в стиле местного сумасшедшего - секретные бандлы в секретном чятике друг-дружке пересылать. гитляп, повторяю, это не замена отсутсвующей у гита авторизации и разделения пользователей. Это средство коллективной работы с кодом, прежде всего. Тот самый "чятик для разработчиков". Со стикерами и эмодзишечками.
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от User (??), 14-Мрт-25, 09:57
	> гитляп, повторяю, это не замена отсутсвующей у гита авторизации и разделения пользователей. > Это средство коллективной работы с кодом, прежде всего. Тот самый "чятик > для разработчиков". Со стикерами и эмодзишечками. И в этом виде она мне - как "не разработчику" очень так себе, кстати. Вся проектная часть через 33 интеграции в жире, постановки - то самое "что и почему сделано" - в конфе, инструментов для review\совместной работы не то, чтобы "не достаточно", но не сказать, чтобы "сколько-нибудь удобно" - в общем, с какой стороны не глянь, прям столько вокруг обмазывать надо, что б-жеж ты мой. Пока что самое лучшее видел в этом смысле - это space от jetbrains в связке с teamcity и youtrack - почти бесшовно, но только "почти".
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+1 +/–
	Сообщение от Профессор Кукушкин (?), 13-Мрт-25, 17:46
	Нет, это пример как не надо писать сложные проекты на любом языке. С теми практиками, которые используют в Гитлабе, он будет одинаково отвратительно работать на любом языке.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	66. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+1 +/–
	Сообщение от Молодой Смузихлёб (?), 14-Мрт-25, 05:50
	Это мы ещё исходной код Mastodon не рассматривали.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

11. Скрыто модератором	–4 +/–
Сообщение от Аноним (11), 13-Мрт-25, 16:22
Кто нибудь вообще воспринимает этот гитлаб в серьез? Это же васяноподелие жуткое, и ведь им в проде пользуются(знаю одну корпу, у которой в сеть светит страничка авторизации их гитлаба, со всеми репами и прочим). Как по мне, оно хайпануло только из за нетакусиков, во первых, потому что не гитхаб(хотя чем плох гитхаб никто сказать не может), а во вторых, потому что оно родом из страны, поддерживать которую сейчас модно.
Ответить | Правка | Наверх | Cообщить модератору

	13. Скрыто модератором	–1 +/–
	Сообщение от 12yoexpert (ok), 13-Мрт-25, 16:26
	> потому что не гитхаб(хотя чем плох гитхаб никто сказать не может) тем, что это мелкомягкие, зачем дурачком прикидываешься? а вот о том, что гитлаб арендует сервера у мелкомягких, почему-то все молчат
	Ответить | Правка | Наверх | Cообщить модератору

	21. Скрыто модератором	+1 +/–
	Сообщение от Аноним (10), 13-Мрт-25, 16:59
	> тем, что это мелкомягкие А чем это плохо-то? Платиновый спонсор разработки Линукса, между прочим. Их вклад в опенсорс в месяц больше, чем у всего опеннета вместе взятого за всю историю его существования.
	Ответить | Правка | Наверх | Cообщить модератору

	22. Скрыто модератором	–2 +/–
	Сообщение от нах. (?), 13-Мрт-25, 17:03
	Потому что дурачок тут только ты, и даже не прикидываешься. Всем совершенно плевать на бредни нетакусиков о проклятой вездесущей microsoft. Но вот складывать исходники и всю околопроектную деятельность в чужие облачка, действительно готовы оказываются не все. А кому-то и законодательство прямо запрещает. (github enterprise то такоэ... во-первых, подписка в любой момент может подорожать или вовсе закончиться, во-вторых если ты его поставишь, то с удивлением узнаешь что даже серверная изолированная версия мнэ...не совсем изолированная. Про цену уж не будем - "call!")
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	26. Скрыто модератором	–2 +/–
	Сообщение от Аноним (10), 13-Мрт-25, 17:24
	Всё там в порядке и с изоляцией, и с ценником, и даже с поддержкой. Госдеп США устраивает, авось и твоему подвалу сгодится. Проблемы с законодательством (кстати, ссылки на соответствующие нормативные документы не покажешь?), ценами, и внезапными отключениями  свойственны только слаборазвитым странам, всячески стремящимся покинуть лоно цивилизации. И эти проблемы хостинг кода решить не может, и не должен.
	Ответить | Правка | Наверх | Cообщить модератору

	34. Скрыто модератором	+/–
	Сообщение от Аноним (34), 13-Мрт-25, 18:09
	> Госдеп США устраивает Потому что они в одной юрисдикции. > Проблемы с законодательством (кстати, ссылки на соответствующие нормативные документы не покажешь?), ценами, и внезапными отключениями  свойственны только слаборазвитым странам Это ЕС слаборазвитые?
	Ответить | Правка | Наверх | Cообщить модератору

	39. Скрыто модератором	–2 +/–
	Сообщение от нах. (?), 13-Мрт-25, 18:28
	>> Госдеп США устраивает > Потому что они в одной юрисдикции. В той юрисдикции надысь уволили половину госдепа. Уцелевшим не до выбора нормальной платформы, им бы до пенсии дотянуть. > Это ЕС слаборазвитые? Конечно. Вон из недавних разгромных новостей как они америку импортозаместили: "Берлин в январе - в одном из последних пакетов - передал Украине 60 ракет к IRIS-T". Понимаешь - 60 ШТУК. В МЕСЯЦ. Крупнейшая экономика гейропы. Какого лешего мы до сих пор баварское не пьем, и все бесплатно и в любом количестве, в счет репараций - я решительно не понимаю.
	Ответить | Правка | Наверх | Cообщить модератору

	14. Скрыто модератором	+4 +/–
	Сообщение от Аноним (14), 13-Мрт-25, 16:27
	Чем плоха арендованная квартира, только дураки живут в собственном жилье! А все рассказы про то что владелец арендованной квартиры может тебя выгнать в любой момент, полна чушь! Как он меня выгонит, я же ему за это деньги плачу!
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	24. Скрыто модератором	–2 +/–
	Сообщение от Аноним (10), 13-Мрт-25, 17:08
	А без котёнка с дверцей сможешь объяснить что не так? Гит — система распределённая, можешь свои нетленки на все известные человечеству хостинги кода залить, и пусть потом опеннет спорит где оригинал, а где копия. Может для меня оригинал только на моём лаптопе, всё остальное — резервные копии. Или скажешь, что резервное копирование не нужно?
	Ответить | Правка | Наверх | Cообщить модератору

	31. Скрыто модератором	+1 +/–
	Сообщение от User (??), 13-Мрт-25, 17:46
	Да можешь и не заливать, чоужтам. С такими предложениями она все равно нах (прости, пох!) никому не нужна.
	Ответить | Правка | Наверх | Cообщить модератору

	20. Скрыто модератором	+1 +/–
	Сообщение от нах. (?), 13-Мрт-25, 16:57
	> Кто нибудь вообще воспринимает этот гитлаб в серьез? Все кто не собирается хранить свои исходники в _чужом_ облачке. > Это же васяноподелие жуткое твой обожаемый гитляп - такое же точно васяноподелие причем на том же самом нескучненьком язычке. Просто тебе не дадут исходник забесплатно скачать без смс, чтоб ты пальцем не тыкал в ляпы и не глумился, вот и вся разница. К сожалению, других средств коллективной работы над проектами у меня для вас, _уже_, нет.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	25. Скрыто модератором	+/–
	Сообщение от Аноним (10), 13-Мрт-25, 17:14
	> К сожалению, других средств коллективной работы над проектами у меня для вас, _уже_, нет. Да их и не было особо. Первый _продукт_, которым было удобно пользоваться — это как раз ГитХаб, не диво что его Майкрософт купил. Остальные в то время всё ещё пытались вывести более быструю лошадь^W^W^W^Wсделать более удобный sourceforge.
	Ответить | Правка | Наверх | Cообщить модератору

	35. Скрыто модератором	+/–
	Сообщение от нах. (?), 13-Мрт-25, 18:12
	Как мы жили до прихода священного платинового спонсора - ума не приложу! Купил он его потому что продавалось. А Гренландия - не продается.
	Ответить | Правка | Наверх | Cообщить модератору

	36. Скрыто модератором	+1 +/–
	Сообщение от blkkid (?), 13-Мрт-25, 18:18
	> К сожалению, других средств коллективной работы над проектами у меня для вас, _уже_, нет. st.ht? gitea/forgejo? ну если хочется у кого-то еще, есть codeberg для попенсорса и какие-нибудь мелкие хостинги типа сберовского gitflic
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	38. Скрыто модератором	–2 +/–
	Сообщение от нах. (?), 13-Мрт-25, 18:23
	> st.ht? можно я не буду это комментировать даже, вместе с сберфриком? > gitea/forgejo? это корявый веб-интерфейс для авторизации в гите, не умеющем из коробки даже этого. Причем тут коллективная работа над проектами? Она вообще не требует обязательной поддержки vcs. (собственно, в одном поддерживаемом проекте - не смотря на гитлаб - вполне себе используется внешнее решение. Потому что разработчики немодные и новые наборы стикеров им не зашли.)
	Ответить | Правка | Наверх | Cообщить модератору

	49. Скрыто модератором	–2 +/–
	Сообщение от myster (ok), 13-Мрт-25, 22:25
	> Как по мне, оно хайпануло только из за нетакусиков, во первых, потому что не гитхаб(хотя чем плох гитхаб никто сказать не может) Оно хайпонуло из-за того, что полностью OSS + self-hosted + универсальное CI/CD. Универсальное тем, что нейтрально смотрит на языки программирования, на которых идёт сборка, в отличие от TeamCity, Bamboo и подобных систем, где система CI/CD суёт свой нос в нюансы сборки каждого языка и пытается сделать под всё интерфейс с полями и менюшечками. А в GitLab ничего такого не пытается, CI/CD там это чистый хардкорный YAML-код с великолепными возможностями по оптимизации anchor'ами, extend'ами и include'ами. Это всё и подкупает. Впрочем Gitea, за последнее время, тоже неплохо догнали GitLab по функционалу и CI/CD там сейчас не хуже GitLab'овского, тоже YAML-код сомвестимый по большей части с GitHub Actions по синтаксису. Раньше с Gitea приходилось использовать Drone CI, а сегодня уже встроенный CI/CD можно спокойно использовать и она легковеснее GitLab - это для тех, кого заботит бюджет и экономит ресурсы, а на практике, большенству компаний пофиг сколько ресурсов жрёт система и без раздумий выбирают GitLab.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

27. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+2 +/–
Сообщение от Аноним (27), 13-Мрт-25, 17:27
Автор! Обязательно пиши в какой версии уязвимость появилась.
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+1 +/–
Сообщение от Аноним (40), 13-Мрт-25, 19:28
> Уязвимость вызвана различиями в разборе XML-документов парсерами ReXML и Nokogiri, Как вы яхту назовете... тоже мне, нога с гирей. И бегает соответственно.
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	–1 +/–
Сообщение от Аноним (-), 13-Мрт-25, 23:56
А в России есть аналогичные продукты которые можно поставить в качестве веб-морды CVS? Не обязательно для Git.
Ответить | Правка | Наверх | Cообщить модератору

	78. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
	Сообщение от abu (?), 14-Мрт-25, 13:31
	GitFlic? (: У них там картинка для 404 страницы еще зачетная - медведь, горящий в машине.
	Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в библиотеке ruby-saml, приводящая к обходу аутен..."	+/–
Сообщение от abu (?), 14-Мрт-25, 13:30
gitolite и все дела (: Хотя и GitLab - тоже норм, правда, за большое количество пользователей и проектов сказать не могу. Ставил его на bare metal k8s, ставил и без, ставил с птицей, ставил с проводницей. Лепил CI/CD, правда мало. Все работало. Самому лично GitLab по нраву тем, что можно его развернуть у себя, можно и не у себя. Там есть группы для репозиториев и мне это по нраву, а, насколько помню, в Github'e и Гитее такого нет, но могу и ошибаться. А то что софт надо обновлять - ну так то не новость.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема