Центр информационной безопасности и мониторинга инцидентов «1С-Битрикс» добавил в программу «Безопасные интеграции» новый слой проверки подключаемых решений для маркетплейса от сторонних компаний-разработчиков — анализ кода на базе искусственного интеллекта. ИИ-аудит дополняет уже работающие механизмы: статический анализ по правилам, экспертное ревью, публичный реестр уязвимостей и взаимодействие с независимыми исследователями. Расширение программы — собственная инициатива компании в развитие подхода к безопасности экосистемы, который Центр ИБ ведёт на протяжении многих лет.
Контекст: программа «Безопасные интеграции»
Маркетплейс 1С-Битрикс — каталог из более чем 2000 готовых модулей, приложений и шаблонов, разрабатываемых аккредитованными IT-компаниями и независимыми авторами для платформ «1С-Битрикс: Управление сайтом». Безопасность этой экосистемы выстроена как непрерывный процесс под управлением Центра информационной безопасности и мониторинга инцидентов в рамках проекта «Безопасные интеграции».
Программа включает несколько последовательных слоев:
-
автоматизированную проверку по сигнатурам и правилам перед публикацией;
-
экспертное ревью кода специалистами;
-
ведение публичного Реестра решений сторонних разработчиков с выявленными уязвимостями — с указанием модуля, уязвимых версий, разработчика и рекомендаций по устранению, доступного в том числе по RSS;
-
мониторинг инцидентов и оперативное реагирование на эксплуатацию возможных уязвимостей.
Автоматическая проверка решений действует в программе давно. ИИ-аудит усилит её возможности там, где формальных правил и сигнатур недостаточно — на уровне контекстного понимания кода, позволяя выявлять менее очевидные классы уязвимостей в автоматическом режиме.
Классификация находок ведётся по индустриальным стандартам — CWE и OWASP Top 10, оценка серьёзности — по CVSS.
Что происходит при обнаружении уязвимости
Ответственность за код модуля и устранение выявленных в нём уязвимостей несёт компания, разработавшая его. Роль платформы — выявить проблему, установить сроки устранения, проконтролировать их соблюдение и обеспечить защиту пользователей на время, пока разработчик готовит исправление.
Процесс реагирования построен на принципе координированного раскрытия. Он уже работает, един для всех и не изменится с появлением ИИ-слоя.
Для новых и обновляемых версий модулей. Наличие уязвимостей блокирует публикацию версии до устранения — уязвимый код не попадает в Маркетплейс, пока разработчик не устранит проблему.
Для уже опубликованных решений. Разработчик в приоритетном порядке получает отчёт с локализацией проблемы и обязан устранить её в установленный срок. До выхода исправления детали уязвимости не раскрываются публично — это защищает пользователей от появления эксплойтов раньше, чем компания-разработчик выпустит патч. После того как исправление выпущено, разработчик информирует пользователей своего модуля о выпущенном обновлении, проводится дополнительная проверка хотфикса на уровне платформы, также платформа дополнительно оповещает клиентов с уязвимой версией о необходимости обновления через собственные каналы.
При отказе разработчика устранить уязвимость модуль снимается с публикации в Маркетплейсе, пользователи информируются о необходимости отказаться от его использования — такая практика применялась и ранее.
Регулярный повторный аудит решений
Повторная проверка ранее опубликованных решений — штатная часть программы «Безопасные интеграции». По мере развития методологии, в том числе с подключением ИИ-аудита, размещенные в Маркетплейсе решения проходят повторный контроль в рамках планового цикла. Находки обрабатываются по тому же единому процессу: разработчик уведомляется в приоритетном порядке, при необходимости и в соответствии с принципом координированного раскрытия запись добавляется в публичный реестр, а пользователи модуля получают необходимые рекомендации.
Открытость и прозрачность
1С-Битрикс придерживается принципа координированного раскрытия уязвимостей. Публичный реестр существует именно для того, чтобы информация о проблемах внешних решений доходила до конечных пользователей быстрее, чем потенциальные эксплойты — и чтобы у клиентов всегда была возможность самостоятельно проверить безопасность установленных модулей.
Для поиска уязвимостей в самой системе “1С-Битрикс: Управление сайтом” компания приглашает независимых исследователей безопасности продолжать тестирование экосистемы — в рамках публичной программы на Standoff Bug Bounty.
В компании отмечают, что ИИ-аудит — не финальная точка, а очередной этап развития программы «Безопасные интеграции». Цель — сделать так, чтобы клиенты Маркетплейса получали не просто прошедшие проверку решения, а решения, безопасность которых поддерживается на всём жизненном цикле: от первой строки кода до обновлений уже установленного модуля.
ссылка на оригинал статьи https://habr.com/ru/articles/1042508/