GitLab Admin Area

GitLab 最核心且最重要的安全问题就是关于用户和项目的管理，有很多的源码泄露问题都是由于对于权限的把控等细节做得不好导致的。这篇将介绍 GitLab 的 Admin Area 功能，以及对用户和项目的一些设置。

Admin Area

在自托管的 GitLab 服务中，关于 GitLab 系统的变更，都是可以经过 Admin Area 完成设置的。

用户管理

如果是内部开发角色的用户，授予 Regular 身份，但如果是外部顾问的形式，则在需要勾选 External 限制对项目的访问及创建项目等，除非在明确指定下项目才有权限。

而系统管理员角色的用户，则可以授予 Admin 身份，但建议一般只要有一个是最安全的。Admin 角色可以修改任何用户、项目以及系统上任何设置。

用户组管理

用户组是为了便于管理多用户之间对项目的访问权限，例如多团队、多部门的协作，但用户之间的身份可以不同。

Guest 只能查看 Issue、Wiki 相关
Reporter 可以对代码进行下载
Developer 可以提交代码及创建 Milestones
Maintainer 可以创建子组及编辑评论
Owner 可以管理组成员及删除群组

refer: https://docs.gitlab.com/ee/user/permissions.html#group-members-permissions

项目管理

建议都是 Private 的方式授权，单独指定的用户或者组别才能进行访问。
但有一些公司例如是为了一些学习测试等目的，需要登录用户可见的，可以使用 Internet。
无论如何，都不要使用 Public，无需登录即可访问到这将会带来安全隐患。

项目成员管理

Guest 下载项目及评论 Issue
Reporter 可以对 Issue 和 Tag 进行管理
Developer 可以对提交代码及发布环境和作业相关进行管理
Maintainer 可以管理项目成员及分支
Owner 可以删除 Issue、Pipeline及项目

refer: https://docs.gitlab.com/ee/user/permissions.html#project-members-permissions

权限建议

普通用户设置成 Guest，可以对项目的一些功能建议或者 Bug 提供 Issue。
测试用户和产品经理设置成 Reporter，可以提供 Issue 外也对项目的源码进行查看。
普通开发用户设置成 Developer，仅限于代码提交等操作。
资深开发用户设置成 Maintainer，可以对分支进行管理。
项目经理设置成 Owner，对整一个项目具有全部权限。

常用的功能

Overview

对于 GitLab 服务的总览功能，例如上面对于用户和项目的操作就是通过该功能下的子功能。

Monitoring

提供 Gitlab 服务的系统状态监控功能，常用是 Health Check 功能下的三个 API。

System Hooks

通过 Hooks 将 GitLab Server 产生的事件发送到第三方的程序，例如钉钉、微信。

Settings

系统的通用性设置。例如注册账号、CI/CD Pipeline等。