Help us learn about your current experience with the documentation. Take the survey.

GitLab 安全加固建议

本文档适用于 GitLab 实例，其中整个系统可以针对常见甚至不太常见的攻击进行"加固"。它并非旨在完全消除攻击，而是提供强有力的缓解措施，从而降低整体风险。某些技术适用于任何 GitLab 部署，例如 SaaS 或自托管，而其他技术则适用于底层操作系统。

这些技术仍在不断完善中，尚未在大规模环境中进行测试（例如拥有大量用户的大型环境）。它们已在运行 Linux 包安装的自托管单实例上进行了测试，尽管许多技术可以转换到其他部署类型，但它们可能无法全部工作或适用。

列出的大多数建议都提供了具体的建议或参考选择，您可以根据通用文档做出这些选择。通过加固，可能会影响用户特别想要或依赖的某些功能，因此您应该与用户沟通，并分阶段实施加固更改。

为了便于理解，加固说明分为五个类别。它们在以下部分列出。

GitLab 加固通用概念

这详细介绍了加固作为一种安全方法以及一些更广泛的理念。更多信息，请参阅加固通用概念。

使用 GitLab GUI 对应用程序本身进行的设置。更多信息，请参阅应用程序建议。

CI/CD 是 GitLab 的核心组件，虽然安全原则的应用基于需求，但您可以做一些事情来使您的 CI/CD 更加安全。更多信息，请参阅 CI/CD 建议。

用于控制和应用配置的配置文件设置（如 gitlab.rb）单独记录。更多信息，请参阅配置建议。

您可以调整底层操作系统以提高整体安全性。更多信息，请参阅操作系统建议。

您可以配置 GitLab Self-Managed 以强制遵守 NIST 800-53 安全标准。更多信息，请参阅 NIST 800-53 合规性。