Коллеги, поскольку мы работаем на рынке информационной безопасности, давно дружим с 1С и считаем себя в некотором роде экспертами в этой области, не смогли пройти мимо разлетевшейся по всей сети публикации об уязвимости 1С. (Ссылка на исходную публикацию: https://www.kommersant.ru/doc/5182068).
Несмотря на кажущуюся “хайповость” статьи и максимальную неконкретность, есть в ней и косвенная подсветка реальных рисков работы на проектах внедрения 1С. Риски эти давно известны и касаются, конечно же, не только 1С, но и любой системы, в которой есть возможность что-то дорабатывать сторонними силами.
Наша компания разрабатывает и дорабатывает решения на платформе 1С:Предприятие, в том числе на крупных и сверхкрупных проектах, в которых задействованы команды разработчиков, измеряемые сотнями человек.
Единственным реальным способом компенсации обозначенных в статье угроз мы считаем следование концепции, которую тезисно можно изложить следующими пунктами:
-
весь код разрабатываемых решений должен быть открытым
-
весь код, помещаемый в хранилище конфигурации (или git) должен проходить регулярную проверку сотрудниками Заказчика (или отдельной от разработчиков кода команды) в рамках процедуры code-review.
-
должен быть внедрен механизм статического анализа кода, помещаемого в хранилище конфигурации и исправление выявляемых проблем
-
должны быть настроены все необходимые меры безопасности в кластере 1С:Предприятие и внешних средств защиты информации
Возможность осуществить "закладку" вредоносного кода даже при таких мерах защиты теоретически существует, однако, вероятность сильно снижена.
Ну и конечно же, не стоит сбрасывать со счетов источник получения обновлений - как технологической платформы, так и прикладных решений. Источник должен быть официальным.