Разработчики инструментария непрерывной интеграции Jenkins сообщили о возможном взломе одного из ключевых серверов инфраструктуры проекта, следы которого были выявлены на прошлой неделе. Скомпрометированный сервер был вовлечён в хранение учётных записей разработчиков и распространение бинарных сборок пакетов и плагинов по зеркалам. Проекту не удалось подтвердить факт взлома, но также не удалось его полностью исключить. Пароли всех участников проекта, которые имели доступ к JIRA и Wiki, уже заменены на новые, а сами участники извещены по электронной почте.
Также была инициирована проверка всех бинарных сборок Jenkins. Пока следов вмешательства не обнаружено. В свете произошедшего будет проведён аудит прав доступа к элементам инфраструктуры проекта и предприняты меры по усилению безопасности. Вопросы об инциденте можно отправлять на IRC, сеть Freenode, канал #jenkins-infra или присоединиться к сессии вопросов и ответов, которая состоится в среду, 27 апреля в 20:00 UTC.
|