请确保您还阅读了2021年1月8日的后续帖子
我们希望向客户提供有关SolarWinds违规的进一步更新。在这一点上,我们重申我们昨天发布的消息–我们在此违规事件中未发挥任何作用,我们也不知道TeamCity中可能导致此违规事件的任何漏洞,因为我们也不知道正在进行任何调查。
什么是TeamCity?为什么在新闻中出现? TeamCity是我们的持续集成和交付工具。它用于自动构建,测试和可选地部署软件。当前,它通常只能作为自托管的独立应用程序使用,这意味着最终用户负责安装,配置和维护系统,包括任何安全性和访问设置。
根据现有的公开信息(到目前为止,我们知道的唯一信息是,SolarWinds和任何政府机构都未向我们提供有关违规行为的任何详细信息),看来对SolarWinds的攻击是针对他们的构建过程(媒体将其称为供应链攻击)。在构建过程中,SolarWinds使用TeamCity等工具。但是,就这一点而言,正如SolarWinds自己的发言人的声明所支持的那样,没有证据表明TeamCity在其中发挥了任何作用。
“ SolarWinds与许多公司一样,使用JetBrains的一种称为TeamCity的产品来协助其软件开发。作为调查的一部分,我们正在审查所有内部和外部工具,这些调查仍在进行中,” SolarWinds发言人说。他说:“公司尚未发现任何证据将安全事件与TeamCity产品的损害联系起来。”
我们认为TeamCity是SolarWinds在构建过程中使用的工具之一,这一事实导致了新闻报道。
JetBrains或TeamCity是否受到威胁?迄今为止,我们还不了解TeamCity或JetBrains是否以任何可能导致这种情况的方式受到损害。此外,我们不仅定期对软件进行定期计划的审核,而且现在正在组织TeamCity的进一步独立安全审核。如果我们发现产品中可能导致此问题的任何漏洞,我们将对此事保持完全透明,并根据我们的安全和隐私政策通知我们的客户。
还值得一提的是,我们自己不使用SolarWinds Orion或其他任何软件。
这会影响您的IDE和其他工具吗?我们的IDE是独立的工具,与TeamCity无关,除了我们使用自己的TeamCity安装来构建它们之外。我们没有证据表明我们的任何服务器或独立工具已被篡改,并且与TeamCity一样,我们对工具和系统进行定期的安全审核。
我可以安全使用JetBrains工具吗?到目前为止,尚未发表任何文章,包括引用FBI调查的文章以及SolarWinds本身的引文,都没有任何证据表明TeamCity具有任何漏洞或后门,这些漏洞或后门将允许未经授权的人员访问构建过程。
因此,我们没有知识或证据认为我们的任何工具都可能遭到破坏,因此不认为您继续使用我们的工具有任何风险。
我们希望对SolarWinds的调查能够尽快完成,并消除对我们工具和公司的任何虚假陈述。我们还要重申,我们将与任何政府机构和安全研究人员进行全面合作。
20多年来,我们的支柱之一一直是与客户保持透明,诚实和诚实,而除了看到毫无根据的指控会损害我们的声誉并向客户灌输怀疑之外,没有什么伤害我们的。