关于 SolarWinds 的更新说明
我们想就 SolarWinds 攻击事件向我们的客户提供进一步的更新。 目前,我们重申昨天发布的信息 – 我们没有在这次攻击事件中扮演任何角色,也不知道 TeamCity 中的任何漏洞可能导致这次攻击事件,而我们也不知道有任何调查正在进行。
什么是 TeamCity,为什么会出现在新闻中?
TeamCity 是我们的持续集成和交付工具。 它的作用是自动构建、测试和可选部署软件。 目前,它一般只作为一个自托管的独立应用程序提供,这意味着最终用户负责安装、配置和维护系统,包括任何安全和访问设置。
根据到目前为止的公开信息(这是我们已知的唯一信息,因为 SolarWinds 或政府机构迄今尚未向我们提供有关漏洞的详细信息),对 SolarWinds 的攻击主要针对 SolarWinds 的构建过程(媒体所说的供应链攻击)。 SolarWinds 在构建过程中使用 TeamCity 等工具。 然而,正如 SolarWinds 自己的发言人的声明所表明,没有证据表明 TeamCity 在其中扮演了任何角色。
"SolarWinds 和许多公司一样,使用 JetBrains 的一款名为 TeamCity 的产品来协助其软件的开发。 我们正在审查所有内部和外部工具,调查仍在进行中。" SolarWinds 发言人说。 "公司还没有看到任何证据表明安全事件与 TeamCity 产品的泄露有关," 他说。
引自 华尔街日报.
TeamCity 是 SolarWinds 在构建过程中使用的工具之一,我们认为这就是导致新闻报道的原因。
JetBrains 或 TeamCity 是否已被入侵?
到目前为止,我们不知道 TeamCity 或 JetBrains 以任何方式被入侵。 此外,我们不仅对我们的软件有进行定期的审查,而且我们现在正在组织对 TeamCity 做进一步独立的安全审查。 如果我们在产品中发现任何可能导致这种情况的漏洞,我们将对此完全透明,并根据我们的安全和隐私政策告知客户。
另外值得一提的是,我们自己并没有使用 SolarWinds Orion 或他们的其他软件。
这是否会影响你们的 IDE 和其他工具?
我们的 IDE 是独立的工具,与 TeamCity 没有任何关系,除了我们使用自己安装的 TeamCity 来构建它们。 我们没有任何证据表明我们的服务器或独立工具被篡改过。还有,就像 TeamCity 一样,我们对我们的工具和系统进行会定期安全审查。
我使用 JetBrains 工具是否安全?
迄今为止发表的所有文章,包括那些参考 FBI 调查的文章,以及 SolarWinds 自己的声明,都没有任何证据表明 TeamCity 存在任何漏洞或后门,或允许未经授权的访问构建过程。
因此,我们没有任何知识或证据表明我们的任何工具被入侵,因此,我们不认为您继续使用我们的工具会有任何风险。
我们希望尽快完成对 SolarWinds 的调查,并澄清对我们的工具和公司的任何误导。 我们还想重申,我们愿意与任何政府机构和安全研究人员通力合作。
20 多年来,我们的支柱之一就是对客户的透明、诚实、真实。没有什么比看到毫无根据的指控损害我们的声誉并给客户灌输疑虑更大的伤害。我们非常感谢您的支持,并将随时向您汇报任何进展。
谢谢。
Maxim Shafirov
首席执行官