1С-Битрикс развивает программу «Безопасные интеграции»: ИИ-аудит как новый слой непрерывного контроля сторонних решений

Центр информационной безопасности и мониторинга инцидентов «1С-Битрикс» добавил в программу «Безопасные интеграции» новый слой проверки подключаемых решений для маркетплейса от сторонних компаний-разработчиков – анализ кода на базе искусственного интеллекта ^[1]. ИИ-аудит дополняет уже работающие механизмы: статический анализ по правилам, экспертное ревью, публичный реестр уязвимостей и взаимодействие с независимыми исследователями. Расширение программы – собственная инициатива компании в развитие подхода к безопасности экосистемы, который Центр ИБ ведёт на протяжении многих лет.

Контекст: программа «Безопасные интеграции»

Маркетплейс 1С-Битрикс – каталог из более чем 2000 готовых модулей, приложений и шаблонов, разрабатываемых аккредитованными IT-компаниями и независимыми авторами для платформ «1С-Битрикс: Управление сайтом». Безопасность этой экосистемы выстроена как непрерывный процесс под управлением Центра информационной безопасности и мониторинга инцидентов в рамках проекта «Безопасные интеграции».

Программа включает несколько последовательных слоев:

• автоматизированную проверку по сигнатурам и правилам перед публикацией;

• экспертное ревью кода специалистами;

• ведение публичного Реестра решений сторонних разработчиков с выявленными уязвимостями ^[2] – с указанием модуля, уязвимых версий, разработчика и рекомендаций по устранению, доступного в том числе по RSS;

• мониторинг инцидентов и оперативное реагирование ^[3] на эксплуатацию возможных уязвимостей.

Автоматическая проверка решений действует в программе давно. ИИ-аудит усилит её возможности там, где формальных правил и сигнатур недостаточно – на уровне контекстного понимания кода, позволяя выявлять менее очевидные классы уязвимостей в автоматическом режиме. 

Классификация находок ведётся по индустриальным стандартам – CWE и OWASP Top 10, оценка серьёзности – по CVSS.

Что происходит при обнаружении уязвимости

Ответственность за код модуля и устранение выявленных в нём уязвимостей несёт компания, разработавшая его. Роль платформы – выявить проблему, установить сроки устранения, проконтролировать их соблюдение и обеспечить защиту пользователей на время, пока разработчик готовит исправление.

Процесс реагирования построен на принципе координированного раскрытия. Он уже работает, един для всех и не изменится с появлением ИИ-слоя.

Для новых и обновляемых версий модулей. Наличие уязвимостей блокирует публикацию версии до устранения – уязвимый код не попадает в Маркетплейс, пока разработчик не устранит проблему.

Для уже опубликованных решений. Разработчик в приоритетном порядке получает отчёт с локализацией проблемы и обязан устранить её в установленный срок. До выхода исправления детали уязвимости не раскрываются публично – это защищает пользователей от появления эксплойтов раньше, чем компания-разработчик выпустит патч. После того как исправление выпущено, разработчик информирует пользователей своего модуля о выпущенном обновлении, проводится дополнительная проверка хотфикса на уровне платформы, также платформа дополнительно оповещает клиентов с уязвимой версией о необходимости обновления через собственные каналы.

При отказе разработчика устранить уязвимость модуль снимается с публикации в Маркетплейсе, пользователи информируются о необходимости отказаться от его использования – такая практика применялась и ранее.

Регулярный повторный аудит решений

Повторная проверка ранее опубликованных решений – штатная часть программы «Безопасные интеграции». По мере развития методологии, в том числе с подключением ИИ-аудита, размещенные в Маркетплейсе решения проходят повторный контроль в рамках планового цикла. Находки обрабатываются по тому же единому процессу: разработчик уведомляется в приоритетном порядке, при необходимости и в соответствии с принципом координированного раскрытия запись добавляется в публичный реестр, а пользователи модуля получают необходимые рекомендации.

Открытость и прозрачность

1С-Битрикс придерживается принципа координированного раскрытия уязвимостей. Публичный реестр существует именно для того, чтобы информация о проблемах внешних решений доходила до конечных пользователей быстрее, чем потенциальные эксплойты – и чтобы у клиентов всегда была возможность самостоятельно проверить безопасность установленных модулей.

Для поиска уязвимостей в самой системе “1С-Битрикс: Управление сайтом” компания приглашает независимых исследователей безопасности продолжать тестирование экосистемы – в рамках публичной программы на Standoff Bug Bounty.

В компании отмечают, что ИИ-аудит – не финальная точка, а очередной этап развития программы «Безопасные интеграции». Цель – сделать так, чтобы клиенты Маркетплейса получали не просто прошедшие проверку решения, а решения, безопасность которых поддерживается на всём жизненном цикле: от первой строки кода до обновлений уже установленного модуля.