Центр информационной безопасности и мониторинга инцидентов «1С-Битрикс» добавил в программу «Безопасные интеграции» новый слой проверки подключаемых решений для маркетплейса от сторонних компаний-разработчиков – анализ кода на базе искусственного интеллекта. ИИ-аудит дополняет уже работающие механизмы: статический анализ по правилам, экспертное ревью, публичный реестр уязвимостей и взаимодействие с независимыми исследователями. Расширение программы – собственная инициатива компании в развитие подхода к безопасности экосистемы, который Центр ИБ ведёт на протяжении многих лет.
Контекст: программа «Безопасные интеграции»
Маркетплейс 1С-Битрикс – каталог из более чем 2000 готовых модулей, приложений и шаблонов, разрабатываемых аккредитованными IT-компаниями и независимыми авторами для платформ «1С-Битрикс: Управление сайтом». Безопасность этой экосистемы выстроена как непрерывный процесс под управлением Центра информационной безопасности и мониторинга инцидентов в рамках проекта «Безопасные интеграции».
Программа включает несколько последовательных слоев:
-
автоматизированную проверку по сигнатурам и правилам перед публикацией;
-
экспертное ревью кода специалистами;
-
ведение публичного Реестра решений сторонних разработчиков с выявленными уязвимостями – с указанием модуля, уязвимых версий, разработчика и рекомендаций по устранению, доступного в том числе по RSS;
-
мониторинг инцидентов и оперативное реагирование на эксплуатацию возможных уязвимостей.
Автоматическая проверка решений действует в программе давно. ИИ-аудит усилит её возможности там, где формальных правил и сигнатур недостаточно – на уровне контекстного понимания кода, позволяя выявлять менее очевидные классы уязвимостей в автоматическом режиме.
Классификация находок ведётся по индустриальным стандартам – CWE и OWASP Top 10, оценка серьёзности – по CVSS.
Что происходит при обнаружении уязвимости
Ответственность за код модуля и устранение выявленных в нём уязвимостей несёт компания, разработавшая его. Роль платформы – выявить проблему, установить сроки устранения, проконтролировать их соблюдение и обеспечить защиту пользователей на время, пока разработчик готовит исправление.
Процесс реагирования построен на принципе координированного раскрытия. Он уже работает, един для всех и не изменится с появлением ИИ-слоя.
Для новых и обновляемых версий модулей. Наличие уязвимостей блокирует публикацию версии до устранения – уязвимый код не попадает в Маркетплейс, пока разработчик не устранит проблему.
Для уже опубликованных решений. Разработчик в приоритетном порядке получает отчёт с локализацией проблемы и обязан устранить её в установленный срок. До выхода исправления детали уязвимости не раскрываются публично – это защищает пользователей от появления эксплойтов раньше, чем компания-разработчик выпустит патч. После того как исправление выпущено, разработчик информирует пользователей своего модуля о выпущенном обновлении, проводится дополнительная проверка хотфикса на уровне платформы, также платформа дополнительно оповещает клиентов с уязвимой версией о необходимости обновления через собственные каналы.
При отказе разработчика устранить уязвимость модуль снимается с публикации в Маркетплейсе, пользователи информируются о необходимости отказаться от его использования – такая практика применялась и ранее.
Регулярный повторный аудит решений
Повторная проверка ранее опубликованных решений – штатная часть программы «Безопасные интеграции». По мере развития методологии, в том числе с подключением ИИ-аудита, размещенные в Маркетплейсе решения проходят повторный контроль в рамках планового цикла. Находки обрабатываются по тому же единому процессу: разработчик уведомляется в приоритетном порядке, при необходимости и в соответствии с принципом координированного раскрытия запись добавляется в публичный реестр, а пользователи модуля получают необходимые рекомендации.
Открытость и прозрачность
1С-Битрикс придерживается принципа координированного раскрытия уязвимостей. Публичный реестр существует именно для того, чтобы информация о проблемах внешних решений доходила до конечных пользователей быстрее, чем потенциальные эксплойты – и чтобы у клиентов всегда была возможность самостоятельно проверить безопасность установленных модулей.
Для поиска уязвимостей в самой системе “1С-Битрикс: Управление сайтом” компания приглашает независимых исследователей безопасности продолжать тестирование экосистемы – в рамках публичной программы на Standoff Bug Bounty.
В компании отмечают, что ИИ-аудит – не финальная точка, а очередной этап развития программы «Безопасные интеграции». Цель – сделать так, чтобы клиенты Маркетплейса получали не просто прошедшие проверку решения, а решения, безопасность которых поддерживается на всём жизненном цикле: от первой строки кода до обновлений уже установленного модуля.
Автор: Cyber1CBitrix
