Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
gtese
V2EX  ›  程序员

有人熟悉 Gerrit 代码审计吗

  •   
  •   gtese · Aug 29, 2025 · 2497 views
    This topic created in 285 days ago, the information mentioned may be changed or developed.
    这是软件开发同事推荐的东西,我花了两天用 docker 部署它并启用 ldap.
    1) 初次登陆后 第一个用户 admin 既可访问了,但是我发现 在“HTTP Credentials” 可以生成很长在密码,但是随便找一台客户端,还是随随便便就登陆了,并且不需要密码。
    2 )不做任何操作情况下,所有人都可以注册,并直接登陆系统。
    3 )启用 ldap 后,所有 ldap 用户可以正常登陆,但是全部都是 user ,admin 访问不了
    4 )容器参数 加上 CANONICAL_WEB_URL 后,如果前端上 waf ,访问特么 https://url////////

    这可能是我尝试过最屎的一套系统,我现在不知道怎么交付给软件同事用。
  • Gerrit
  • ldap
  • Docker
    16 replies    2025-08-29 17:54:20 +08:00
    liferoll
        1
    liferoll  
       Aug 29, 2025
    文档都读完了吗?
    gtese
        2
    gtese  
    OP
       Aug 29, 2025
    一套系统,在初始化部署之后能这么缺胳膊少腿,需要用户去官网进修一下?
    你能回答一下我的题目吗?
    @liferoll
    stimw
        3
    stimw  
       Aug 29, 2025
    我个人觉得 gerrit 这套 git 流程很难用。
    gtese
        4
    gtese  
    OP
       Aug 29, 2025
    https://hub.docker.com/r/gerritcodereview/gerrit 一开始,我觉得官方有 docker 镜像,并且写了 docer compose ,部署已经是非常快的一件事,但是,跑完之后,我感觉被骗了。 通常一个正常系统,安装完了之后, 配置管理员,配反向代理,配用户源都是很轻松快乐的事情。 经过两天折腾,我只能在 dns 分配个域名给它用,起码像个折腾过的样子,并且,我准备让同事直接用 admin 去玩吧。
    COW
        5
    COW  
       Aug 29, 2025
    除非公司对合规有非常高要求,否则不推荐用,非常不敏捷,快速迭代场景想做审计,不如直接用 Git 平台自带的 PR 。
    NealLason
        6
    NealLason  
       Aug 29, 2025
    是不是默认配置 auth.type 选择了 DEVELOPMENT_BECOME_ANY_ACCOUNT ?
    gtese
        7
    gtese  
    OP
       Aug 29, 2025
    @NealLason 启用 ldap 就把 admin 冲掉了。等于全员 user 。最麻烦的是,初始化完成后,改 admin 密码是无效的。不是 cookie 保存,而是随便找一个都可以用 admin 登陆。查过资料,type 不能并存,最后一条 type 生效。
    [auth]
    type = ldap
    [ldap]
    server = ldap://
    NealLason
        8
    NealLason  
       Aug 29, 2025
    是什么版本的 gerrit ?启用 LDAP 并登陆之后,Gerrit 会自动关联一个 userid ,这个时候你再把 auth.type 切换回 DEVELOPMENT_BECOME_ANY_ACCOUNT ,然后点击 admin 登陆,把新增的这个 LDAP User 对应 uid 增加到 Administrators 组,再把 auth.type 切回去就行了。
    @gtese
    hwdq0012
        9
    hwdq0012  
       Aug 29, 2025
    借楼问一下, 你们的 ldap 需要三个月更新一下证书吗, 我这我们 cto 每三个月就下载一个阿里云的证书让我 更新上去
    NealLason
        10
    NealLason  
       Aug 29, 2025
    @hwdq0012 LDAP 在一版都部署在内网吧,内网的证书也要更新这么勤吗
    hwdq0012
        11
    hwdq0012  
       Aug 29, 2025
    @NealLason #10 不更新 相关的服务就登不上去
    gtese
        12
    gtese  
    OP
       Aug 29, 2025
    @hwdq0012 阿里云买个一年的吧, 免费用 3 个月。 不然就搞个 ca ,发个几年的,做个信伤。
    gtese
        13
    gtese  
    OP
       Aug 29, 2025
    @NealLason 我去试试。
    gtese
        14
    gtese  
    OP
       Aug 29, 2025
    @NealLason
    ldap 用户登陆后只有
    ID
    1000001
    Email
    [email protected]
    Registered
    5:46 PM
    Username
    ad_user
    Full name
    ad_displayname
    ===================
    Identities
    Status Email Address Identity
    [email protected] gerrit:ad_user

    只有默认的 admin 有 UUID
    gtese
        15
    gtese  
    OP
       Aug 29, 2025
    切换回 type = DEVELOPMENT_BECOME_ANY_ACCOUNT 查找不到 ldap 里的用户信息,无论是什么都搜不到。
    gtese
        16
    gtese  
    OP
       Aug 29, 2025
    抱歉,有了,重启容器。发现 ldap 帐号登陆着,logout 再点 admin 能看到了。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5544 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 01:32 · PVG 09:32 · LAX 18:32 · JFK 21:32
    ♥ Do have faith in what you're doing.