JetBrains: «Мы тут исправили кое-что в TeamCity, но что именно – не скажем»

В недавнем обновлении программного обеспечения для непрерывной интеграции и доставки (CI/CD) TeamCity от JetBrains было исправлено 26 проблем с безопасностью, однако компания не посчитала нужным раскрыть хоть какие-нибудь подробности о выявленных уязвимостях, что вызвало громкие дискуссии в профессиональном сообществе.

Обновление версии 2024.03 TeamCity призвано защитить пользователей от потенциальных угроз, однако отсутствие каких бы то ни было деталей о 26 уязвимостях вызывает неподдельное удивление среди экспертов по безопасности. Такой подход компании к раскрытию информации стал предметом особой критики после инцидента с экспертами Rapid7, когда последние обвинили JetBrains в недостаточной прозрачности.

JetBrains утверждает, что скрывает детали исключительно для защиты клиентов, использующих предыдущие версии TeamCity, однако это не является общепринятой практикой, которой придерживаются в отрасли.

Тем не менее, понять стремления компании можно. TeamCity остаётся весьма привлекательной целью для злоумышленников, стремящихся атаковать цепочку поставок программного обеспечения. История показывает, что подобные атаки могут иметь крайне серьёзные последствия, как, например, было в случае с SolarWinds.

По словам Эллиотта Уилкса, технического директора компании Advanced Cyber Defence Systems (ACDS), непрозрачность действий JetBrains вполне может быть связана с недавними атаками программ-вымогателей, что и вынудило компанию к дополнительным мерам предосторожности.

Кроме того, в новой версии TeamCity даже появилась функция полуавтоматического скачивания критических обновлений безопасности для пользователей on-prem версий программного обеспечения. Ранее эта функция была доступна только для облачных установок, и этот шаг определённо показывает желание JetBrains как можно больше повысить защищённость своих систем.

Современные угрозы требуют от организаций постоянной бдительности и готовности к реагированию на инциденты безопасности, особенно в контексте возрастающей сложности атак на цепочки поставок программного обеспечения.

Политика прозрачности компании JetBrains определённо не соответствует общепринятым стандартам и нормам, однако такой подход тоже приносит свои плоды и способен положительно повлиять на безопасность клиентов.