Discussion :

[Patrick Ruiz]

Windows est interdit chez Gitlab en raison du « coût des licences et des difficultés à sécuriser l’OS »
Dans le cadre de la politique de gestion centralisée des PC des membres de l’équipe IT

Gitlab avait déjà entièrement arrimé ses employés à la formule télétravail avant la survenue de la pandémie de coronavirus. C’est dire que la mise à contribution des employés dans le cadre de cette approche ne fait pas l’objet de débats. C’est plutôt une disposition en lien avec la gestion des ordinateurs de l’équipe IT qui en suscite parmi les observateurs : Windows est interdit pour ces derniers. Place à macOS ou Linux. L’entreprise évoque diverses raisons dont le coût des licences et l’aspect sécurité. Gitlab étant une plateforme web, les contradictions portent sur les possibilités de test qui s’offrent aux membres de l’équipe IT sur divers navigateurs dont Microsoft Edge.

«En raison de la prédominance de Windows dans la filière des systèmes d'exploitation de bureau, Windows est la plateforme la plus ciblée par les logiciels espions, les virus et les rançongiciels. macOS est préinstallé sur les ordinateurs Apple et Linux est disponible gratuitement. Pour approuver l'utilisation de Windows, GitLab devrait acheter des licences Windows Professional, car Windows Home Edition ne satisfait pas aux directives de sécurité de GitLab. Étant donné que de nombreux achats d'ordinateurs portables ont été effectués par des employés qui ont ensuite été remboursés par GitLab, un employé distant achète généralement un ordinateur portable installé d’avance avec Windows Home Edition. Windows Home Edition est notoirement difficile à sécuriser », indique Gitlab à propos des raisons de la prohibition de Windows pour les membres de son équipe IT.

La manœuvre fait sens pour certains observateurs qui estiment qu’elle permet aux membres de l’équipe IT de Gitlab de focaliser sur leur travail plutôt que sur l’aspect sécurité.

D’autres sont plutôt d’avis que Gitlab aurait aussi pu opter pour la mise à disposition (des membres dee son équipe IT) d’ordinateurs plus adapté à une utilisation en entreprise.

Microsoft Edge pour Linux est disponible depuis novembre 2021. Le navigateur Web de Microsoft pour Chromium l’est de même pour macOS. Ce sont des possibilités dont disposent les membres de l’équipe IT de Gitlab pour les tests. Dans ce cas, il suffit de se procurer un binaire du navigateur pour la plateforme cible. Le souci est que le binaire exhibe des spécificités en fonction de la plateforme. Chrome par exemple n’effectue pas de rendu d’éléments de menus de façon identique sur différents systèmes d’exploitation. De plus, certaines règles de style de sélection sont interprétées différemment en fonction de la plateforme sur laquelle tourne le navigateur.

Les développements en cours font en sus état de la possibilité pour les membres de l’équipe IT de Gitlab de faire usage d’une machine virtuelle Windows au sein d’un hôte Linux.

En fait, la décision de Gitlab n’a rien de nouveau. Google a dû s’ouvrir de la même facon à macOS et Linux par le passé. La décision faisait suite au piratage des installations (à base de PC Windows) de Google Chine en 2010. « Nous avons abandonné les PC Windows au profit du système d'exploitation macOS à la suite des attaques de pirates en Chine », avait indiqué un responsable qui avait ajouté que « les employés ont la possibilité d’utiliser des ordinateurs avec Linux comme système d’exploitation. »

Source : Gitlab

Et vous ?

Quelle appréciation faites-vous de l’argumentaire mis en avant par Gitlab en tant que développeur web ?
Saine politique de gestion de la sécurité par Gitlab ? Sinon qu’est-ce qui cloche selon vous ?
Quels aspects faut-il penser à améliorer dans le cadre de la politique de gestion centralisée en vigueur chez Gitlab ?

Voir aussi :

Gitlab double sa valorisation à 2,75 milliards de dollars avant son introduction en bourse prévue en 2020, grâce à un nouveau financement de 268 millions de dollars

GitLab 11.0 est disponible avec un ensemble de fonctionnalités d'automatisation, une meilleure gestion des licences et de la sécurité, entre autres

GitLab, le gestionnaire de référentiels Git, a été développé en Ruby on Rails, son PDG nous donne ici les raisons de ce choix

GitLab a récolté 100 millions de dollars suite à une levée de fonds série D qui porte sa valorisation à 1,1 milliard de dollars

[technick]

On comprend mieux pourquoi il est si tordu de sécuriser une connexion Visual Studio Pro <-> Gitlab, si eux meme ne le font pas...

[Invité]

Paramétrer un serveur Git n'est pas éminemment compliqué. Pour des dépôts privés, je ne vois pas bien l'intérêt d'utiliser Gitlab et autres.

[earhater]

On comprend mieux pourquoi il est si tordu de sécuriser une connexion Visual Studio Pro <-> Gitlab, si eux meme ne le font pas...

Visual studio est dispo sur mac si jamais

[OrthodoxWindows]

Saine politique de gestion de la sécurité par Gitlab ? Sinon qu’est-ce qui cloche selon vous ?

Gitlab est de mauvaise fois, car la plupart des entreprises utilisent des ordinateurs avec Windows 10 professionnels préinstallés, comme la très bien évoqué BitcoinDurp dans son tweet. De plus, cela me semble bizarre que Windows famille soit à ce point moins sécurisé que Windows pro.
Je pense que GitLab veut juste économiser le prix des licences est prend la sécurité comme prétexte.

Sinon, je pense que le tweet de The laziest geek ever est de l'ordre de la désinformation.
NON, un utilisateur Windows n'a pas à se transformer en expert de sécurité au point de ne plus pouvoir travailler. De plus, un Linux ou MacOS sans par feu et sans filtrage internet sera lui aussi très vulnérable. Comme n'importe quel système d'exploitation.
À titre personnel, ça fait très longtemps que je n'ai pas été infecté par quoique ce soit dans Windows. Pourtant, j'utilise seulement l'antivirus de Microsoft. Le seul est unique problème est le refus d'apprendre de la plupart des gens (l'informatique, c'est de toute façon trop compliqué, ce n'est pas fait pour moi, c'est uniquement pour les geeks...), qui se comportent comme s'il conduisait une voiture sans savoir conduire .

En plus, les employés de GitLab travaillent justement dans l'informatique, et sont donc censés connaitre au moins les bases de la sécurité ; ce tweet est donc définitivement mensonger (ou alors, date de 1998).

Les développements en cours font en sus état de la possibilité pour les membres de l’équipe IT de Gitlab de faire usage d’une machine virtuelle Windows au sein d’un hôte Linux.

La manie des machines virtuelles, en lieu et place du double amorçage ...

[23JFK]

Des économies sur les licences en achetant des machines Apple... J'ai un peu de mal à y croire, par contre je veux bien encore croire que les unix-like soient plus résistants aux attaques par ransomware.

[OrthodoxWindows]

Des économies sur les licences en achetant des machines Apple... J'ai un peu de mal à y croire, par contre je veux bien encore croire que les unix-like soient plus résistants aux attaques par ransomware.

Je sais bien que GNU/Linux est plus sécurisé que Windows, mais clairement, GitLab exagère, on n'est plus au temps de Windows 98...

[redcurve]

Des économies sur les licences en achetant des machines Apple... J'ai un peu de mal à y croire, par contre je veux bien encore croire que les unix-like soient plus résistants aux attaques par ransomware.

Pas du tout en fait, en plus les ransomware ne demandent aucun droit particulier, les droits de l'utilisateur sont suffisants puisque le principe est de chiffré les fichiers auxquels l'utilisateur à accès. En outre les ransomwares provoquent une corruption fatale des systèmes unix like les rendant impossible à récupérer pour la majorité d'entre eux. Donc souvent les gens ne savent même pas qu'ils ont un ransomware puisque que l'os est simplement détruit.

Windows dispose d'une protection anti ransomware assez efficace mais elle n'est pas activée par la majorité des gens et encore moins des entreprises.

[redcurve]

Je sais bien que GNU/Linux est plus sécurisé que Windows, mais clairement, GitLab exagère, on n'est plus au temps de Windows 98...

Plus sécurisé non, mais a une typologie d'utilisateurs moins débiles oui. Pour autant ça doit faire 20 ans que je n'ai pas vu un virus ou un truc dans ce genre sous Windows, les ransoms c'est autre chose ça ne cherche pas à modifier le système, ça ne cherche pas à changer des droits, en fait ça lit et écrit juste les fichiers dont l'utilisateur à accès. La seule solution est la liste blanche mais souvent les entreprises n'activent pas cette fonctionnalité de windows, comme l'isolation noyau ou la VBE.

La majorité des ransomwares entrainent une correction irrécupérable de linux.

Sous MacOS le mieux et d'injecter directement le code dans un exe classique après EOF puisque MacOs ne vérifie pas si un jump va après EOF, à partir de là vu que la surface d'attaque est immense on peut faire ce qu'on veut, lancer des scripts python etc.

[Madmac]

Quand une entreprise veut décidé quand je dois changer mon ordinateur. C'est déjà une raison suffisante pour boycotter son OS. Quand l'entreprise décide unilatéralement d'encrypter mes disques. C'est une autre bonne raison pour le faire. Spécialement quand elle étudie le modèle "OS comme un service".

[Madmac]

Sinon, je pense que le tweet de The laziest geek ever est de l'ordre de la désinformation.
NON, un utilisateur Windows n'a pas à se transformer en expert de sécurité au point de ne plus pouvoir travailler. De plus, un Linux ou MacOS sans par feu et sans filtrage internet sera lui aussi très vulnérable. Comme n'importe quel système d'exploitation.

Faux, puisque la majorité des virus et arnaques sont créer pour l'environnement Windows.

[Anselme45]

Beaucoup d'arguments et d'excuses pour un problème que GitLab ne veut pas reconnaitre:

Comme dans le cas de la majorité des acteurs du numérique qui ont basé leur succès sur la gratuité de leurs services, à un moment donné, le business model est rattrapé par la réalité: La gratuité n'existe pas... Quelqu'un doit financer cette "gratuité", sinon...

[OrthodoxWindows]

Faux, puisque la majorité des virus et arnaques sont créer pour l'environnement Windows.

Le fait que la majorité des virus et arnaques soit créée pour l'environnement Windows ne suffit pas à pouvoir affirmer qu'un utilisateur ne peut même plus travailler dessus.

Surtout que Android est aussi très ciblé.

[dperrain]

Je pense surtout que c'est une boîte qui payent certainement ses employés à coût de lance pierre et qui leur dit venez avec votre propre matos, ils doivent certainement être tous en full remote. La dsi veut pas acheter de pcs et si ils peuvent exploiter l'open source à fond pour pas payer de licences il le feront. Ça m'a l'air d'un business modèle bien bancale

[Fagus]

Windows dispose d'une protection anti ransomware assez efficace mais elle n'est pas activée par la majorité des gens et encore moins des entreprises.

Salut,
C'est à peu près ce que je me suis dit (je l'ai activée), mais plus le temps passe puis je la trouve archaïque et ce soir même complètement nulle suite à un test inspiré par cette remarque.

En effet, cette protection est une liste blanche qui semble reproduire une partie des pires erreurs des années 90.
- Elle ne prend en compte que les exécutables. Résultat, si on a un .jar ou python, etc., il faut autoriser l'interpréteur carrément. Donc, sur un PC de dév ou qui utilise java, n'importe quel script est autorisé. Je n'ose pas tester si un script lancé par word (les produits microsoft sont autorisés par défaut) serait limité.
- Elle ne vérifie pas les checksums !!! Je viens de vérifier ce soir (cf infra).
- Chez moi elle a finit par buguer : parfois, quand je lance un programme, celui-ci plante car il n'arrive pas à écrire (et le concepteur n'a pas prévu le cas...). Il suffit d'ajouter celui-ci à la liste blanche... Sauf, que le log est planté chez moi, et que les programmes bloqués sont bloqués sans trace... Résultat, s'il n'y a qu'un exe ça va, mais si le programme en a 26 voire en appelle un externe à un moment, je n'ai comme seule solution que de tout couper. Pratique déjà.

Pas étonnant que ce soit désactivé par défaut partout !

--- POC ---

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#include <stdio.h>
#include <stdlib.h>

int main() {
    FILE *fichier = fopen("salut.txt", "w");

    if ( !fichier) {
        fprintf(stderr, "ouverture echec!\n");
        return EXIT_FAILURE;
	}
	else {
		printf( "ouverture OK!\n");
    }

    fprintf(fichier,"%s","salut le monde ! \n");
	fclose(fichier);

    return EXIT_SUCCESS;
}

Voilà, je compile en exe dans mes documents, ça doit écrire dans le répertoire courant. Et en effet, windows defender bloque l'exe. J'autorise l'exe, puis je le remplace par un autre APRES l'avoir autorisé:

Je recompile en changeant le message "salut le monde" ! en "salut tout le monde !", et là, le programme arrive encore à écrire ! Donc, si un malware arrive à remplacer un exécutable (il suffit de trouver un exe autorisé dans un répertoire user et de l'écraser avec du code malin), il peut contourner la protection.

Aussi étrange, alors que je supprime l'autorisation, le programme peut encore écrire pendant plusieurs minutes... est-ce un délai peu sensé ou un bug exploitable ? (à une époque il y avait des exploit par substitution d'exe dans une race condiction où le malware était plus rapide que l'antivirus)

Bref, les protections de linux (non activées par défaut non plus...) me semblent plus sérieuses ! Microsoft a voulu faire quelque chose, mais des années après, leur produit est seulement une version alpha voire béta de ce qu'elle prétend faire.

[redcurve]

Salut,
C'est à peu près ce que je me suis dit (je l'ai activée), mais plus le temps passe puis je la trouve archaïque et ce soir même complètement nulle suite à un test inspiré par cette remarque.

En effet, cette protection est une liste blanche qui semble reproduire une partie des pires erreurs des années 90.
- Elle ne prend en compte que les exécutables. Résultat, si on a un .jar ou python, etc., il faut autoriser l'interpréteur carrément. Donc, sur un PC de dév ou qui utilise java, n'importe quel script est autorisé. Je n'ose pas tester si un script lancé par word (les produits microsoft sont autorisés par défaut) serait limité.
- Elle ne vérifie pas les checksums !!! Je viens de vérifier ce soir (cf infra).
- Chez moi elle a finit par buguer : parfois, quand je lance un programme, celui-ci plante car il n'arrive pas à écrire (et le concepteur n'a pas prévu le cas...). Il suffit d'ajouter celui-ci à la liste blanche... Sauf, que le log est planté chez moi, et que les programmes bloqués sont bloqués sans trace... Résultat, s'il n'y a qu'un exe ça va, mais si le programme en a 26 voire en appelle un externe à un moment, je n'ai comme seule solution que de tout couper. Pratique déjà.

Pas étonnant que ce soit désactivé par défaut partout !

--- POC ---

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#include <stdio.h>
#include <stdlib.h>

int main() {
    FILE *fichier = fopen("salut.txt", "w");

    if ( !fichier) {
        fprintf(stderr, "ouverture echec!\n");
        return EXIT_FAILURE;
	}
	else {
		printf( "ouverture OK!\n");
    }

    fprintf(fichier,"%s","salut le monde ! \n");
	fclose(fichier);

    return EXIT_SUCCESS;
}

Voilà, je compile en exe dans mes documents, ça doit écrire dans le répertoire courant. Et en effet, windows defender bloque l'exe. J'autorise l'exe, puis je le remplace par un autre APRES l'avoir autorisé:

Je recompile en changeant le message "salut le monde" ! en "salut tout le monde !", et là, le programme arrive encore à écrire ! Donc, si un malware arrive à remplacer un exécutable (il suffit de trouver un exe autorisé dans un répertoire user et de l'écraser avec du code malin), il peut contourner la protection.

Aussi étrange, alors que je supprime l'autorisation, le programme peut encore écrire pendant plusieurs minutes... est-ce un délai peu sensé ou un bug exploitable ? (à une époque il y avait des exploit par substitution d'exe dans une race condiction où le malware était plus rapide que l'antivirus)

Bref, les protections de linux (non activées par défaut non plus...) me semblent plus sérieuses ! Microsoft a voulu faire quelque chose, mais des années après, leur produit est seulement une version alpha voire béta de ce qu'elle prétend faire.

C'est logique le système ne peut pas deviner que ton jar est du code seul javac est effectivement du code, aucune différence entre un jar, un fichier txt, ou un fichier contenant la recette de la tarte aux pommes de mamie. Si vous faites ce test avec une application dotnet vous aurez un résultat différent si la sortie est un exe ou si vous faites dotnet monapp.dll

[grunk]

Je pense surtout que c'est une boîte qui payent certainement ses employés à coût de lance pierre et qui leur dit venez avec votre propre matos, ils doivent certainement être tous en full remote. La dsi veut pas acheter de pcs et si ils peuvent exploiter l'open source à fond pour pas payer de licences il le feront. Ça m'a l'air d'un business modèle bien bancale

Leur calcul de salaire est publique : https://about.gitlab.com/handbook/to...on-calculator/
Et une version publique du calculateur était disponible à une époque : https://web.archive.org/web/20201003...or/calculator/

Perso des coup de lance pierre comme ca , j'en veux bien tous les mois

Et comme tout leur process de recrutement est publique tu verras qu'il fournisse un pc à tout leur personnel : https://about.gitlab.com/handbook/bu...uests/#laptops

Oui les 1600+ employés sont en télétravail puisque l'entreprise n'a jamais eu de bureau.
A presque 90M$/trimestre , je sais pas si on peux qualifier ca de business modèle bancale

[AoCannaille]

Paramétrer un serveur Git n'est pas éminemment compliqué. Pour des dépôts privés, je ne vois pas bien l'intérêt d'utiliser Gitlab et autres.

Il faut plutôt voir Gitlab comme une GUI du répo bare commun. C'est quand même pratique pour voir qui a fait quoi facilement sans changer de branche, avec plusieurs branches en même temps, en filtrant par user etc.
Sans parler de toutes les capacités de gestion de tiquet, de documentation et la chaine d'intégration continue que permet Gitlab et que ne permet pas git seul.

[Fagus]

C'est logique le système ne peut pas deviner que ton jar est du code seul javac est effectivement du code, aucune différence entre un jar, un fichier txt, ou un fichier contenant la recette de la tarte aux pommes de mamie. Si vous faites ce test avec une application dotnet vous aurez un résultat différent si la sortie est un exe ou si vous faites dotnet monapp.dll

Ne peut pas... microsoft sait que les jar et les scripts sont exécutés même si ce n'est pas du code natif. J'ai eu avant des solutions tierces, sous windows, et qui étaient capables de filtrer par script ou par jar, et qui sont capables de détecter depuis plus de 20 ans qu'un programme sur liste blanche a été modifié, injecté, compromis etc. par un autre programme. Donc je maintiens que leur solution sent l'amateurisme puisque moi, simple amateur j'ai été capable de contourner la protection en 5mn avec un test bidon.

PS : j'ai contourné windows defender avec un .exe natif écrit en c, pas en passant par un interpréteur autorisé. Quiproquo ?

[Invité]

Bonsoir

Windows est interdit chez Gitlab en raison du « coût des licences et des difficultés à sécuriser l’OS » . Dans le cadre de la politique de gestion centralisée des PC des membres de l’équipe IT.

Quelle appréciation faites-vous de l’argumentaire mis en avant par Gitlab en tant que développeur web ?

Lol . Interdir Windows , alors qu'ils font du dev/prog Windows .

Je suis boulanger, je fais du pain sans farine , avec de l'eau et du sel et de la fecule de mais ^^ . La bonne blague.

Saine politique de gestion de la sécurité par Gitlab ?

Pas du tout.

Sinon qu’est-ce qui cloche selon vous ?

Interdir l'utilisation d'un produit pour le quel on est censé developper ^^

Quels aspects faut-il penser à améliorer dans le cadre de la politique de gestion centralisée en vigueur chez Gitlab ?

Qu'ils revoient leurs politiques de sécurité sur les produits Windows.