Комментарий к новости о вредоносном коде в модулях 1С

Коллеги, поскольку мы работаем на рынке информационной безопасности, давно дружим с 1С и считаем себя в некотором роде экспертами в этой области, не смогли пройти мимо разлетевшейся по всей сети публикации об уязвимости 1С. (Ссылка на исходную публикацию: https://www.kommersant.ru/doc/5182068).

Несмотря на кажущуюся “хайповость” статьи и максимальную неконкретность, есть в ней и косвенная подсветка реальных рисков работы на проектах внедрения 1С. Риски эти давно известны и касаются, конечно же, не только 1С, но и любой системы, в которой есть возможность что-то дорабатывать сторонними силами.

Наша компания разрабатывает и дорабатывает решения на платформе 1С:Предприятие, в том числе на крупных и сверхкрупных проектах, в которых задействованы команды разработчиков, измеряемые сотнями человек.

Единственным реальным способом компенсации обозначенных в статье угроз мы считаем следование концепции, которую тезисно можно изложить следующими пунктами:

  • весь код разрабатываемых решений должен быть открытым 

  • весь код, помещаемый в хранилище конфигурации (или git) должен проходить регулярную проверку сотрудниками Заказчика (или отдельной от разработчиков кода команды) в рамках процедуры code-review. 

  • должен быть внедрен механизм статического анализа кода, помещаемого в хранилище конфигурации и исправление выявляемых проблем

  • должны быть настроены все необходимые меры безопасности в кластере 1С:Предприятие и внешних средств защиты информации

Возможность осуществить "закладку" вредоносного кода даже при таких мерах защиты теоретически существует, однако, вероятность сильно снижена.

Ну и конечно же, не стоит сбрасывать со счетов источник получения обновлений - как технологической платформы, так и прикладных решений. Источник должен быть официальным.



Свяжитесь с нами

119435 г. Москва, ул. Малая Пироговская, 16
Контакты
Нажимая кнопку "Начать сотрудничество" я принимаю условия Пользовательского соглашения и согласен на обработку Персональных данных
Связаться с нами

Заполните форму ниже и наши специалисты свяжутся с вами в ближайшее время

Удобное время для звонка
  • 10:00 - 12:00
  • 12:00 - 14:00
  • 14:00 - 16:00
  • 16:00 - 18:00
  • 18:00 - 19:00
Время московское
Отвечаем с понедельника по пятницу
Нажимая кнопку "Связаться с нами" я принимаю условия Пользовательского соглашения и согласен на обработку персональных данных