É seguro expor ferramentas de desenvolvimento / equipe publicamente sem VPN?

Você pode avaliar dando uma olhada no andamento da atualização e nas informações de lançamento específicas da segurança de cada pacote em que está interessado.

O caso comum de pessoas que executam aplicativos terceirizados / de código aberto publicamente sem proteção por firewall ou VPN é que eles não conseguem mantê-los e suas dependências atualizadas e depois de algum tempo depois que ficam desatualizados seus sistemas ficam comprometidos.

O tempo entre o anúncio de problemas de segurança e tentativas de comprometimento é menor com algo como o Wordpress, onde os ataques podem começar em minutos.

Mas todos os aplicativos de código aberto têm problemas de segurança que exigem um ritmo constante de atualizações, e os invasores procuram assinaturas que sinalizem vulnerabilidades.

Se esta postura é um risco significativo para você é altamente dependente do contexto, tanto no impacto do comprometimento e exposição, os atacantes atração pode ter para você, e sobre os custos financeiros, humanos, operacionais de abordagens alternativas.

Normalmente, as pessoas têm informações confidenciais para a empresa no bate-papo e, é claro, as ferramentas de desenvolvimento têm a custódia de ativos importantes. Mas, do ponto de vista de um atacante, há muitos peixes no mar e muitos sistemas altamente vulneráveis não se comprometem.

... hiding it behind VPN is uncomfortable for some our users.

O software complexo sempre terá bugs e vulnerabilidades. Se as informações da sua empresa forem confidenciais, mas a VPN parecer um exagero, considere a possibilidade de executar seus serviços da Web por meio de HTTPS com certificados de clientes (acredito que o Mattermost e o Rocket.chat funcionem com protocolos da Web).

Seus usuários terão o inconveniente de instalar seus certificados em seus navegadores, mas você reduzirá efetivamente possíveis vetores de ataque à implementação de criptografia assimétrica do servidor da Web.