在沒有 VPN 的情況下公開公開開發/團隊工具是否安全？

我們希望有一個自託管的 slack 替代方案（mattermost，rocket.chat），但是將它隱藏在 VPN 後面對我們的一些使用者來說是不舒服的。

如果不公開，我會覺得更安全，但它到底有多危險？

我相信這個問題可以應用於所有開發應用程序，例如：gitlab、redmine 等。

您可以通過查看您感興趣的每個軟體包的更新速度和特定於安全的發布資訊來進行評估。

對於那些在沒有防火牆或 VPN 保護的情況下公開執行第三方/開源應用程序的人來說，常見的情況是他們未能保持這些應用程序及其依賴項的更新，然後在他們過時一段時間後，他們的系統就受到了威脅。

像 Wordpress 這樣的攻擊可以在幾分鐘內開始，從宣布安全問題到攻擊嘗試之間的時間最短。

但所有開源應用程序都存在安全問題，需要穩定的更新速度，並且攻擊者會尋找表明漏洞的簽名。

這種姿勢是否對您構成重大風險高度依賴於上下文，既取決於妥協和暴露的影響，攻擊者可能對您產生的吸引力，以及替代方法的成本（財務、人力、運營）。

通常人們在聊天中擁有對公司敏感的資訊，當然開發工具也擁有重要資產的保管權。但從攻擊者的角度來看，海中有很多魚，許多高度易受攻擊的系統沒有受到損害。

但最終，這就是人們最終使用 SAAS 服務的原因，除非他們有戰略上的自我託管需求，並且能夠在比業餘愛好者更專業的水平上做到這一點。對於最終的某些定義，愛好者託管最終將不可避免地以妥協告終。

引用自：https://serverfault.com/questions/798644