Gitlab

Компания

Интернет-сервисы
С 2011 года
США
Северная Америка
Сан-Франциско

Содержание

Показатели деятельности
- 2022: Потеря трети капитализации из-за плохих показателей
История
Примечания

Выручка и прибыль по МСФО млн $

Количество сотрудников компании

Активы

+ Gitlab

GitLab — сайт и система управления репозиториями кода для Git. Из дополнительных возможностей: собственная вики и система отслеживания ошибок. ПО доступно в системе управления пакетами Omnibus.

Показатели деятельности

2022: Потеря трети капитализации из-за плохих показателей

Стоимость акций GitLab за один день рухнула на 38%, из-за чего платформа потеряла более трети своей стоимости. Связано это со слабыми финансовыми показателями, отражёнными в отчёте от 13 марта 2023 года.

Выручка GitLab по итогам финансового года, закрытого 31 января 2023-го, достигла $424,34 млн. Это на 68% больше по сравнению с результатом за предыдущий финансовый год, когда было получено приблизительно $252,65 млн. В общем объёме выручки в 2023 финансовом году на подписки и сервисы SaaS (программное обеспечение как услуга) пришлось $369,35 млн. Ещё примерно $54,99 млн принесло лицензирование.

Несмотря на увеличение выручки на 68%, Gitlab продолжает приносить убытки

Вместе с тем GitLab столкнулась с ростом чистых убытков. Они составили $172,31 млн против $155,14 млн в 2022 финансовом году. В дальнейшем компания также готовится к убыткам, что и спровоцировало стремительную потерю капитализации.

В отчёте отмечается, что к концу 2023 финансового года количество клиентов с показателем ARR (годовой регулярный доход) более $5000 достигло 7002, что на 52% больше в годовом исчислении. Число заказчиков, у которых ARR превышает $100 000, составило почти 700, показав прибавку на уровне 42% по сравнению с концом 2022 финансового года. Количество клиентов с ARR свыше $1 млн увеличилось до 63, что на 62% больше в годовом исчислении. Отмечается, что с 3 апреля 2023 года стоимость подписки на GitLab Premium поднимется с $19 до $29 в расчёте на одного пользователя в месяц.

На результаты [GitLab] негативно повлияла макроэкономическая ситуация, поскольку циклы продаж увеличились, а некоторые клиенты компании приостановили приём на работу новых сотрудников и (или) были вынуждены сокращать численность персонала, что спровоцировало падение коэффициента удержания прибыли, — отметил аналитик Мэтью Хедберг (Matthew Hedberg).^[1]

История

2024

ФСТЭК предупредил о критической уязвимости в популярной платформе для разработчиков GitLab

ФСТЭК опубликовала предупреждение, что в платформах совместной разработки GitLab Community Edition (CE) и Enterprise Edition (EE) обнаружена критическая уязвимость с номером BDU:2024-04858^[2], которая связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём запуска пайплайнов от имени других пользователей. Производитель уже выпустил обновленные версии 17.1.1, 17.0.3 и 16.11.5^[3], где исправлено 14 уязвимостей, из которых наиболее опасной является BDU:2024-04858 – она имеет по CVSS 3.1 оценку опасности 9,6 из 10, но есть также три критические.

У многих наших клиентов есть собственные команды разработки, так как им важна скорость цифровизации, – рассказал TAdviser Аскар Добряков, ведущий эксперт направления защиты бизнес-приложений «К2 Кибербезопасность». – В 85% случаев эти команды используют продукты GitLab, например, GitLab CI. Запрос на импортозамещение этих продуктов пока не актуален, т.к. в России этот сегмент решений еще только зарождается. В новом патче GitLab исправила сразу 14 уязвимостей. Среди них: одна критичная, позволяющая запускать пайплайн от имени любого пользователя; три высокого уровня критичности, позволяющие осуществить нарушение прав доступа и утечки данных; 9 среднего уровня и 1 низкого, связанные в основном с нарушением работы или обходом ограничений доступа внутри системы.

GitLab

В текущем GitLab Critical Patch Release было исправлено 14 уязвимостей

На текущий момент по данным платформы CyberOK СКИПА в российском сегменте Интернета наблюдается более 14 тыс. доступных сервисов GitLab, – поделился с TAdviser информацией Сергей Гордейчик, генеральный директор «СайберОК». – При этом среди них более 60% с устаревшими и более не поддерживаемыми версиями (версии до 16.11). В последних исправлениях GitLab были устранены 14 уязвимостей. Среди них есть одна критическая и 3 уязвимости с высоким уровнем важности/критичности:

CVE-2024-5655 (CVSS3.1: 9.6, EPSS: 0.001) - возможность запуска конвейера от имени любого пользователя (требуются определённая конфигурация GitLab);
CVE-2024-4901 (CVSS3.1: 8.7, EPSS: 0.0004) - XSS-уязвимость, позволяющая внедрить в заметку к проекту вредоносный сценарий, который будет выполнен в контексте пользователя, открывшего эту заметку;
CVE-2024-4994 (CVSS3.1: 8.1) - CSRF-уязвимость в API GraphQL, позволяющая злоумышленникам выполнять произвольные изменения в GraphQL, путём изменения легитимных запросов аутентифицированных пользователей;
CVE-2024-6323 (CVSS3.1: 7.5, EPSS: 0.001) - ошибка обработки авторизации в функции глобального поиска GitLab, позволяющая злоумышленникам просматривать результаты поиска из частных репозиториев в общедоступных проектах.

Базовые метрики оценки критичности уязвимостей достаточно высокие, но необходимо заметить, что для эксплуатации 3 из 4 этих уязвимостей злоумышленнику необходимо успешно пройти авторизацию в GitLab (получить валидные учетные данные и обойти остальные средства контроля доступа), что в значительной степени снижает вероятность массовой эксплуатации.

Следует отметить, что по мнению Сергея Голованова, главного эксперта «Лаборатории Касперского», GitLab обычно не публикуют в Интернете, а используют чисто во внутренней сети как хранилище для кода, а доступ к нему организуют через VPN для удаленной разработки. Так что, количество реально установленных продуктов, но не доступных из Интернет, может быть больше того, что обнаруживает интернет-поиск СКИПА.Проблемы и перспективы российского рынка блокчейн. Обзор TAdviser 7.1 т

По словам Аскара Добрякова все ошибки были найдены в процессе Bug Bounty (кроме одной, о которой сообщил член команды разработчиков) и не имеют публичных эксплойтов. Однако уязвимости опасны тем, что они позволяет посторонним встроить свои коды в любой проект, разрабатываемый на платформе. То есть создаются условия для встраивания постороннего кода в цепочку поставки разработчика.

GitLab в России довольно популярный фреймворк, используется в большинстве компаний, – пояснил Лука Сафонов, технический директор «Гарда WAF». – уязвимость в продукте имеет степень серьезности 9,6 из 10 - это очень серьезно. С помощью таких уязвимостей можно добавить свой код в чужие проекты.

Этого же мнения придерживается и Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора по ИБ «Бастион».

Компрометация GitLab может приводить к модификации кода, хранящегося в репозиториях и, как следствие, к атакам на цепочку поставок, – подтвердил он опасность уязвимости для TAdviser. – Для того, чтобы защитить свои данные от утечек важно выполнять регулярное обновление GitLab, особенно в случае, если он доступен из Интернета. Также необходимо периодически проводить ревизию активности в репозиториях и самом GitLab: проверять логи аутентификации, коммиты – на предмет вредоносного кода и т.д.

Аскар Добряков считает, что если злоумышленник может запустить пайплайн от имени любого пользователя, то он может выполнить фактически все, что разрешено любому пользователю в системе: внедрить собственный код, отправить проект в сборку, обойти процедуры согласования (в т.ч. с ИБ). Причем в сочетании с другими уязвимостями, например с помощью XSS-атаки в заметке (CVE-2024-4901), позволяющей выполнить некоторые действия от имени пользователя или украсть его аутентификационную информацию, можно расширить область поражения атаки и сильно увеличить риски как для самих разработчиков, так и для пользователей разрабатываемого ими программного обеспечения.

Однако, по словам Сергея Голованова «обнаруженная уязвимость потенциально позволяет скомпроментировать исходные коды компании, их можно будет скопировать и модифицировать. Однако в нашей практике после компрометации GitLab и аудита исходников закладок не встречалось.» Собственно, уязвимость в GitLab обнаруживалась не впервые, но до недавнего времени случаев, когда хакеры взломали с ее помощью систему совместной разработки и встроили закладки для дальнейшего распространения, еще не было зафиксировано. Впрочем сейчас атака на цепочку поставок становятся все популярнее, поэтому исключать такой вектор атак не стоит.

Если в организации не выстроен процесс DevSecOps, который предусматривает регулярные проверки публикуемого кода, то эксплуатация упомянутых выше уязвимостей, несёт серьезные риски, связанные с незаметным встраиванием вредоносного кода в существующие проекты, – заявил Сергей Гордейчик. – Исходя из публично доступных отчетов об инцидентах ИБ, скорее всего, такая вставка вредоносного кода будет выявлена только на этапе расследования уже случившегося инцидента ИБ. Поскольку GitLab зачастую является одной из наиболее критичных систем для организаций, которые занимаются разработкой ПО, то стоит отнестись максимально серьезно к обеспечению защищенности этого сервиса. В частности, необходимо выполнение нескольких базовых требований:

обеспечить хороший и наблюдаемый процесс контроля доступа к GitLab;
отслеживать изменения и события ИБ, связанные как с получением доступа и действиями пользователей, так и с изменением конфигурации сервиса;
выполнять проверки всех публикуемых изменений кода и CD-обвязок;
регулярно обновлять ПО.

Сама же ФСТЭК рекомендует следующие компенсирующие меры:

минимизировать пользовательские привилегии;
отключить/удалить неиспользуемые учётные записи пользователей;
использовать средства межсетевого экранирования для ограничения возможности удалённого доступа;
использовать виртуальные частные сети для организации удаленного доступа (VPN).

«Дыра» в платформе GitLab позволяет перехватывать пароль. Под угрозой более 10 тыс. серверов в России

НКЦКИ в середине января 2024 года предупредил о появлении критической уязвимости CVE-2023-7028 в платформах совместной разработки GitLab Community Edition и Enterprise Edition версий 16.1.0 - 16.7.1. Они оказались уязвимы к атаке на перехват учетной записи пользователей. Для бреши установлен уровень CVSS 10 из 10, поскольку атака легко реализуется и выполняется дистанционно.

Предупреждение НКЦКИ

Исправление для уязвимости есть – в специально для этого выпущенных версиях^[4] 16.7.2, 16.6.4 и 16.5.6 соответствующих продуктов.

Уязвимость появилась в версии 16.6.0. В ней не очень корректно была реализована функциональность сброса пароля с помощью дополнительного адреса электронной почты. То есть злоумышленнику достаточно добавить свой адрес как резервный для сброса, а потом с помощью него «восстановить» пароль и получить полный доступ к учетной записи.

Эксплойты начали публиковать на GitHub, что говорит о большой вероятности атак с использованием этой уязвимости. Правда, если установлена двухфакторная аутентификация, то сбросить пароль с помощью уязвимости хоть и можно, но получить полный доступ к учетной записи – не получиться.

Продукты компании GitLab оказались достаточно популярны на территории России: поисковой системой Netlas было обнаружено более 10 тыс. установок на российских адресах. Это третье место в мировом распространении продуктов. Больше только в Германии (19,6 тыс. установок) и США (10,5 тыс.). Всего же по миру уязвимых платформ 89,1 тыс. установок.

Распределение уязвимых продуктов GitLab по миру (источник Netlas)

Это достаточно большое количество, чтобы можно было ожидать массовой эксплуатации этой уязвимости. Причем она очень хорошо ложиться в тенденции сегодняшнего дня – атаки на цепочки поставок. Злоумышленник может с помощью уязвимости подключиться к платформе совместной разработки и встроить в код собственные закладки и импланты.

Поскольку исправления есть, то их стоит установить, хотя для российских пользователей придется выполнить определенные требования по проверке безопасности устанавливаемого кода. Во всяком случае именно это рекомендует сделать НКЦКИ:

Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Кроме того, максимально быстро стоит включить двухфакторную аутентификацию для всех участников платформы. Это можно сделать и без установки новой версии.

При этом у компании появляется возможность обнаружить атаку на свою платформу, важно только убедить разработчиков сообщать о всех фактах неудачных попыток по захвату их учетных записей в службу информационной безопасности предприятия.

2023: Сокращение штата на 7%

9 февраля 2023 года сервис GitLab, основной конкурент платформы GitHub, объявил о сокращении штата. Численность персонала уменьшится на 7%, что связано с кризисом на ИТ-рынке и глобальными экономическими вызовами.

Как сообщил соучредитель и генеральный директор GitLab Сид Сиджбрандий (Sid Sijbrandij), в сложившихся условиях корпоративные заказчики придерживаются более консервативного подхода к инвестициям в программное обеспечение и тратят больше времени на принятие решений. Мер по перераспределению расходов, которые ранее были приняты в GitLab, оказалось недостаточно для того, чтобы противостоять растущему глобальному экономическому спаду. Поэтому компания вынуждена пойти на увольнения сотрудников.

GitLab сократил штат на 7% из-за кризиса на ИТ-рынке

Я принял решение сократить размер нашей команды на 7%. Это было очень трудное решение, и я понимаю, что оно может быть неожиданным для некоторых из вас. Нам грустно прощаться с талантливыми работниками, которые сыграли неотъемлемую роль в развитии GitLab, и я благодарен за их значительный вклад. К сожалению, нам необходимо предпринять дальнейшие шаги и привести наши темпы расходования средств в соответствие со стратегией роста, — заявил Сиджбрандий.

По состоянию на начало 2022 года штат GitLab насчитывал 1630 сотрудников. Исходя из этой цифры, работы лишатся примерно 114 человек. Они получат полагающиеся выплаты и выходное пособие, равное базовому окладу за четыре месяца. Кроме того, компания покроет страховые взносы на здравоохранение на срок до шести месяцев. GitLab также окажет поддержку увольняемым сотрудникам при трудоустройстве на новом месте: она включает консультации и составление резюме. Увольняемые сотрудники смогут оставить себе предоставленное оборудование, в том числе для домашнего офиса, при соблюдении протоколов безопасности GitLab.^[5]

2022: План удаления бесплатно размещённых проектов, неактивных в течение года

4 августа 2022 года стало известно о том, что компания GitLab планирует в сентябре внести изменения в правила использования сервиса, в соответствии с которыми проекты, размещаемые на хостинге GitLab.com бесплатно, будут автоматически удаляться, если в течение 12 месяцев их репозитории будут оставаться неактивными. Изменения правил пока не объявлены официально и находятся на стадии внутреннего планирования.

Изменение нацелено на снижение издержек на поддержание хостинга за счёт высвобождения ресурсов на хранение и обработку заброшенных проектов и неразвивающихся форков. Предполагается, что на поддержание инфраструктуры для заброшенных проектов приходится до четверти всех затрат на работу хостинга GitLab.com и автоматическая чистка подобных проектов позволит сэкономить до миллиона долларов в год.

До фактического удаления в течение нескольких недель или месяцев владельцам претендующих на удаление репозиториев будут направляться уведомления с предупреждением о необходимости подтвердить актуальность проекта. Удалять планируют только заброшенные проекты, авторы которых не реагируют на предупреждения, в репозитории в течение года не отмечалось изменений, не публиковались свежие issue и не отправлялись комментарии.

Тем не менее, некоторые участники сообщества считают предлагаемое удаление порочной практикой, так как код из неактивных репозиториев может использоваться в качестве зависимости в других проектах, остающихся активными. Также отмечается, что постоянные изменения не являются целью некоторых авторов, которые вполне могут считать, что текущее состояние их проекта достигло оптимального уровня, и код достаточно хорош и не требует улучшения, или изначально открывать готовые наработки, которые не планируется развивать, но которые могут оказаться полезными окружающим.

Кроме того, на код неактивных проектов могут ссылаться внешние ресурсы, и его удаление приведёт к потере подтверждённой эталонной копии, на которую можно ссылаться (в неофициальных копиях не гарантируется отсутствие вредоносной активности), поэтому вместо удаления, вероятно, более оптимальным был бы перевод в архивное состояние с сохранением возможности доступа к коду в режиме только для чтения. Для экономии дискового пространства при хранении мусорных форков можно использовать более эффективные методы обработки дубликатов, например, GitHub для исключения дублирования данных хранит вместе все объекты из основного репозитория и связанных с ним форков, логически разделяя принадлежность коммитов ^[6].

2021

Покупка разработчика платформы для поиска ошибок в облачной среде Opstrace

В середине декабря 2021 года GitLab сообщила о покупке Opstrace. Финансовые условия сделки не разглашаются. Подробнее здесь.

Выход на биржу Nasdaq

14 октября 2021 года компания Gitlab стала публичной, разместив свои акции на бирже Nasdaq под тикером GLTB.

В рамках IPO сервис для совместной разработки ИТ-проектов продал в общей сложности 10,4 млн ценных бумаг по цене $77 за штуку, благодаря чему компания смогла привлечь более $800 млн. Большую часть акций (около 8,42 млн) разместила сама GitLab, а оставшуюся (1,98 млн штук) — инвестор, аффилированный с основателем компании.

Как сообщает агентство Bloomberg, при цене акций в $77 (изначально диапазон был установлен на уровне $66-69 за акцию) рыночная капитализация GitLab составила $11 млрд.

Gitlab вышел на биржу

Согласно проспекту к IPO, заработанные на листинге средства Gitlab намерена на общекорпоративные цели и использовать как оборотный капитал. Основной целью IPO было повышение узнаваемости компании, а также вывод акций на открытый рынок.

К середине октября 2021 года количество клиентов компании Gitlab составляет примерно 3,6 тыс., среди них — Goldman Sachs, UBS, Nvidia и Thomson Reuters. У компании никогда не было офиса, все ее сотрудники (около 1,3 тыс. человек) работают дистанционно.

Gitlab собиралась выйти на биржу раньше, однако планы были пересмотрены из-за пандемии коронавируса COVID-19.

Сооснователь компании Дмитрий Запорожец в 2021 году занял 23-е место в рейтинге богатейших украинцев по версии украинского Forbes. Состояние предпринимателя оценивается в $450 млн.

По мнению инвесторов, бизнес Gitlab выглядит перспективным, в том числе благодаря пандемии коронавируса COVID-19. Стремительное распространение удаленной работы резко актуализировало вопрос о переводе значительной части операций различных отраслей в онлайн — это позволяет надеяться на загрузку программистов, которые будут активно пользоваться ПО компании. В известном смысле цифровизация активно шла и до пандемии, но теперь этот процесс форсируется как компаниями, так и государствами, считают они.^[7]

2020: Покупка компаний Peach Tech и Fuzzit

В середине июня 2020 года компании GitLab объявила о приобретении технологических компаний Peach Tech и Fuzzit с целью улучшения DevOps-инструментов. Оба стартапа развивают ПО для информационной безопасности при так называемом нечётком тестировании (когда применяются случайные данные в качестве входных данных для системы при тестировании софта). Подробнее здесь.

2019: Попытка ввода запрета на прием русских и китайских сотрудников

5 ноября 2019 года стало известно, что руководство Git-сервиса Gitlab запретило принимать в свой штат жителей России и Китая.

Инициатива была предложена в середине октября 2019 г., и в ней говорится о невозможности россиянам или китайцам занимать в Gitlab должности, так или иначе связанные с доступом к данным клиентов компании. К примеру, они не смогут работать инженерами по эксплуатации, технической поддержке или сфере обеспечения безопасности. На 5 ноября 2019 г. она находится на обсуждении и в силу не вступила, но по данным ресурса ZDNet, россияне уже стали получать отказы в приеме на работу в Gitlab.

По данным руководства, клиенты сервиса опасаются, что россияне и китайцы займутся кражей этой информации. Раскрывать названия компаний, переживающих о наличии русских и китайцев в составе команды Gitlab, представители сервиса не стали, однако на 5 ноября 2019 г. в число его корпоративных клиентов входили многие крупные корпорации из различных областей, включая информационные технологии и банковскую сферу.

Объясняя свою инициативу, руководство Gitlab ссылается на несколько неназванных корпоративных клиентов сервиса. Вице-президент Gitlab Эрик Джонсон (Eric Johnson) отметил, что эти клиенты обеспокоены геополитической ситуацией в мире и тем, какое отношение к России и Китаю сложилось во всем мире. Эрик Джонсон подчеркнул, что отказ в приеме на работу на основе их места проживания или происхождения стал нормой в современной ИТ-индустрии. Тем не менее, пишет ZDNet, он не уточнил, какие еще компании используют аналогичные принципы при отборе кандидатов на должности, и как часто именно россияне с китайцами получают отказы.

На 5 ноября 2019 г. Gitlab предлагал не принимать на работу только тех, кто проживает или находится на территории России или Китая. Происхождение соискателя на должность сервис не учитывал – если россиянин или китаец проживают за пределами родной страны, шанс на получение работы у них сохранялся. Все перечисленные ограничения не коснутся действующих сотрудников сервиса – руководство Gitlab не сообщало об их грядущем увольнении.

Помимо этого, Gitlab будет всячески мешать своим сотрудникам, если те по тем или иным причинам захотят посетить Китай или Россию. В случае если человек работает на должности, в которой у него есть доступ к данным клиентов сервиса, то он встанет перед выбором – либо он откажется от идеи поездки в «забаненные» страны, либо ему придется распрощаться с должностью и начать искать работу.

Обсуждение, инициированное руководством Gitlab, на 5 ноября 2019 г. активно продолжалось, и сам запрет на прием на работы россиян и китайцев в компании не был введен. Предполагаемая дата прекращения диалогов на эту тему – 6 ноября 2019 г., а сроки вступления ограничений в силу руководство Gitlab пока не установило.

В то же время недопуск выходцев из России и Китая к должностям с доступом к информации о клиентах в Gitlab уже действует, хотя и негласно – это подтвердил СЕО сервиса Сид Сибрандий (Sid Sijbrandij). Он также сообщил, что действующие сотрудники компании не потеряют свою работу из-за мирового геополитического климата. В то же время он не пояснил, заставят ли россиян и китайцев, работающих, к примеру, в техподдержке Gitlab, перейти на другую должность, в том числе и, возможно на более низкооплачиваемую.

Инициатива Gitlab вызвала шквал негативных отметок и комментариев, количество которых в значительной степени перевесило положительные и нейтральные ответы пользователей. Несогласные с действиями Gitlab не стеснялись в выражениях и недоумевали, почему инициатива руководства сервиса коснулась именно этих стран, а не каких-либо других.

Ряд пользователей отметили, что в октябре и ноябре 2019 г. В США (головной офис Gitlab находится в Сан-Франциско) не существовало ни одного закона, запрещающего нанимать на работу людей из России и Китая и тем более позволяющего препятствовать действующим сотрудникам в их желании посетить эти страны^[8].