最近看到一則資安新聞：自架 Git 服務 Gogs 被揭露存在多個高風險漏洞，其中一個 CVSS 評分高達 9.3，據報已有超過 700 台對外開放的伺服器遭到入侵。

這件事讓我想到一個很常見的情境：很多團隊為了省錢、求彈性、或是不想把程式碼放在第三方服務上，會選擇自架 Git 伺服器。Gogs、Gitea、GitLab CE 都是常見選項。

但自架的代價，常常在資安事件發生時才會被看見。

Threads 原文連結

自架服務的隱性成本：你不只是在架一台機器

當你決定自架 Git 服務，你同時承擔了幾件事：

• 漏洞追蹤：你要自己盯 CVE、追 release note、判斷影響範圍
• 升級維運：你要自己排時間升版、測試相容性、處理 migration
• 監控告警：你要自己建立可觀測性，否則被打了也不知道
• 備份與復原：你要自己確保資料能還原、災難能復原

這些事情在大公司有專職團隊處理；但在中小型團隊或 side project，通常就是「有空再說」。

問題是，攻擊者不會等你有空。

為什麼自架 Git 特別容易成為目標

Git 服務放的東西太敏感了：

• 原始碼（包含商業邏輯、演算法、API key）
• commit history（可能藏有帳密、config、內部文件路徑）
• CI/CD 設定（拿到這個等於拿到部署權限）
• SSH key / deploy token（可以橫向移動到其他系統）

一旦被攻破，影響範圍往往不只是「那台伺服器」，而是整條軟體供應鏈。

這也是為什麼 Git 服務的漏洞在野攻擊特別快：它的 ROI 太高了。

我會怎麼評估「該不該自架」

如果你還在猶豫，我會用幾個問題來幫自己決策：

1. 你的團隊有人專職做 infra security 嗎？
   如果沒有，自架的風險很容易被低估。

2. 你有在追蹤所用軟體的 CVE 嗎？
   如果連訂閱 release note 都沒做，漏洞出來你不會知道。

3. 你的服務是對外開放還是內網限定？
   對外開放的攻擊面大非常多。這次 Gogs 事件的 700 台伺服器，很可能都是直接暴露在公網。

4. 你的資料敏感度有多高？
   如果只是放 side project、學習用 repo，風險可控；如果是公司核心產品、有客戶資料，損失會很大。

如果真的要自架，至少做到這幾件事

我不是說自架一定不行，但如果要自架，至少要有基本防線：

• 不要對外開放：透過 VPN 或 Zero Trust 架構限制存取
• 開啟自動更新通知：至少訂閱 GitHub release、security advisory
• 定期備份且測試還原：備份沒測過就等於沒備份
• 啟用 2FA 與 audit log：降低帳號被盜的影響範圍
• 用 WAF 或 reverse proxy 擋一層：至少能擋掉一些已知攻擊 pattern

這些不是萬靈丹，但至少能把你從「裸奔」拉到「有基本裝甲」。

最後一個提醒：自架不等於更安全

很多人選擇自架是因為「不信任第三方」。這個考量是合理的，但它隱含一個前提：你自己有能力做得比第三方更好。

如果你的團隊資安能力有限、維運頻寬不足，自架反而會讓你暴露在更大的風險下。

這次 Gogs 事件就是一個警訊：當你把服務搬回自己手上，你也把責任一起搬回來了。

資安 #Git #DevOps #自架服務 #Gogs