Информация по поводу инцидента с SolarWinds

Oksana Mandryka

Пожалуйста, прочтите также дополнение от 8.01.2021.

Мы хотели бы предоставить нашим клиентам дополнительную информацию, касающуюся взлома SolarWinds. Считаем важным повторить озвученную вчера позицию: JetBrains никоим образом не участвовала в этом инциденте, и нам не известно ни о каких уязвимостях TeamCity, которые могли бы к нему привести, и ни о каких проверках.

Что такое TeamCity, и почему о нем пишут СМИ?
TeamCity — наш продукт для непрерывной интеграции и развертывания приложений (Continuous Integration and Delivery). Он автоматизирует сборку, тестирование и, при желании, развертывание программного обеспечения. В данный момент приложение доступно только в автономном варианте с локальным размещением, то есть ответственность за установку, настройку и обслуживание системы, в том числе настройки безопасности и доступа, несет конечный пользователь TeamCity.

Судя по общедоступной информации (а другой мы пока не имеем, поскольку по поводу взлома ни SolarWinds, ни государственные органы с нами не связывались), кибератака на SolarWinds была нацелена на процессы сборки этой компании (в СМИ это называют «атакой на цепочку поставок»). SolarWinds действительно применяет TeamCity, наряду с прочими инструментами, в своих процессах сборки. Однако на данный момент нет оснований утверждать, что TeamCity имеет какое-либо отношение к инциденту, что подтверждается и заявлением от официального представителя SolarWinds:

«Как и многие другие компании, SolarWinds использует продукт JetBrains под названием TeamCity в своих процессах по разработке ПО. В рамках проверки, которую мы ведем в настоящий момент, мы исследуем все собственные и сторонние инструменты. По собранным нами данным, имевший место инцидент безопасности не связан с каким-либо нарушениями целостности продукта TeamCity».

Оригинал цитаты в статье The Wall Street Journal.

Внимание СМИ к TeamCity мы объясняем лишь тем, что это один из инструментов для сборки, которыми пользуется SolarWinds.

Существуют ли проблемы с безопасностью у JetBrains или TeamCity?
По имеющейся у нас информации, ни TeamCity, ни JetBrains в целом не испытывали и не испытывают никаких проблем с безопасностью, которые могли бы привести к подобному инциденту. В дополнение к регулярному аудиту нашего ПО, в данный момент мы организуем специальный независимый аудит TeamCity. Если мы найдем какие-либо уязвимости в продукте, которые могли бы привести к сложившейся с SolarWinds ситуации, то открыто сообщим об этом и проинформируем наших клиентов с соблюдением политик безопасности и конфиденциальности.

Следует заметить, что в JetBrains не используется никакое ПО SolarWinds, в том числе SolarWinds Orion.

Влияет ли это на ваши IDE и другие инструменты?
Наши IDE являются отдельно стоящими приложениями и не имеют отношения к TeamCity как продукту, если не считать того, что мы производим их сборку при помощи локально установленного в JetBrains сервера TeamCity. По нашим данным, никакие наши серверы и отдельностоящие инструменты взлому не подвергались, и, как и в случае с TeamCity, мы регулярно осуществляем аудит безопасности в отношении них и других наших систем.

Безопасно ли сейчас использовать инструменты JetBrains?
Ни в публикациях, включая те, которые упоминают о проверках ФБР, ни в высказываниях от SolarWinds не содержится информации о том, чтобы в TeamCity присутствовали какие-либо уязвимости или бэкдоры, через которые возможно было бы получить несанкционированный доступ к процессу сборки.

Таким образом, у нас нет оснований полагать, что наши инструменты могли быть взломаны, а следовательно, и нет оснований полагать, что их использование связано с каким-либо риском для пользователей.

Мы надеемся, что проверка SolarWinds завершится в самое ближайшее время и искажение сведений о наших продуктах и о компании прекратится. Также повторяем, что готовы оказать полное содействие государственным органам и специалистам по безопасности в случае проверок.

Более 20 лет мы придерживаемся принципов открытости, прозрачности и честности. Поэтому нам больно слышать необоснованные обвинения, которые порочат нашу репутацию и вселяют сомнения в наших клиентов.

Мы высоко ценим вашу поддержку и будем и дальше держать вас в курсе этой ситуации.

Спасибо!

Максим Шафиров
Генеральный директор JetBrains