タグ付けされた質問 「gitlab」

パブリックリポジトリを備えたオープンソースプロジェクトは、安全に報告されているがまだ公開されていないセキュリティ脆弱性に対処するプルリクエスト（PR）を最適に処理する必要がありますか？ 私は数百人の貢献者によるオープンソースプロジェクトに関与しています。定期的に予定されている月次リリースの一環として、セキュリティ通知と脆弱性を年に数回公開しています。パッチを適用したバージョンを公開するまで、脆弱性に関する情報は公開しません。プロジェクト管理システム（JIRA）でセキュリティの問題を安全に管理できます。しかし、セキュリティの脆弱性がGitHubに提出されるときに修正するPRを隠すための良いプロセスがありません。私たちは、人々がリリースされる前にこれらの修正を見つけて、ゼロデイエクスプロイトを作成できることを心配しています。 メインリポジトリをフォークするプライベートリポジトリの使用を検討しましたが、現在のレビューとQAワークフローの多くはPRで行われます。ワークフローをセキュリティチームのみのプライベートリポジトリに移動した場合、修正が公開されている場合、tarballを生成してsourceforgeで公開するのにかかる時間までウィンドウが短くなり、大幅に改善されます。また、PRを公開ベータ版にマージすることを避ける必要があるかもしれません。 その方向に進む前に、オープンリポジトリを使用したオープンソースプロジェクトでリリース前のセキュリティバグ修正パッチを処理するためのベストプラクティスを教えてください。GitHubとは異なるプラットフォームを使用することで問題に対処できる場合は、GitLabへの移行を評価していることに言及する必要があります。

22 open-source  security  github  gitlab 

私は、会社でGitlabをワークフロー戦略で実装することに取り組んでいます。私の考えは、開発者はリポジトリへのアクセスを許可されるが、コミットしようとするときはいつでも、コードをレビューする必要があるということです。 コミットする前にブランチを作成し、レポジトリにプッシュされた後にマージリクエストを作成できることを知っています。特定の事柄についてはまだ不明です...ブランチを作成するために人に頼ってからマージリクエストを行うという考えは間違っているように見えますが、マスターブランチがadmin」は、統合しようとしているコードを承認します。「github team workflow」を読みましたが、実行可能なソリューションを提供していないようです。プロセスまたはご自身のベストプラクティスに関するアドバイスを歓迎します。ありがとう！

18 development-process  git  gitlab 

会社でGitLabサーバーを設定していますが、今はGitLab CIを追加しています。 このタスクを開始する前に、GitLabとGitLab CIで使用される同じサーバー上でランナーを実行する際に不利な点があるかどうかを理解したいと思います。 セキュリティ上の懸念があることを読みましたが、内部でのみ使用しているため、これが問題になるとは思いません。 何か不足していますか？

12 git  continuous-integration  gitlab