Центр информационной безопасности и мониторинга инцидентов «1С-Битрикс» внедрил в программу «Безопасные интеграции» дополнительный уровень проверки решений от сторонних разработчиков для маркетплейса — анализ кода с помощью искусственного интеллекта. ИИ-аудит дополняет уже существующие методы: статический анализ по заданным правилам, экспертную проверку, открытый реестр уязвимостей и взаимодействие с независимыми специалистами. Расширение программы стало собственной инициативой компании в рамках долгосрочного подхода к обеспечению безопасности экосистемы, который Центр ИБ развивает на протяжении многих лет. Об этом CNews рассказали представители «1С-Битрикс».
Маркетплейс «1С-Битрикс» представляет собой каталог, включающий более 2 тыс. готовых модулей, приложений и шаблонов, создаваемых аккредитованными IT-компаниями и независимыми авторами для платформ «1С-Битрикс: Управление сайтом». Безопасность этой экосистемы организована как постоянный процесс под руководством Центра информационной безопасности и мониторинга инцидентов в рамках проекта «Безопасные интеграции».
Программа включает несколько последовательных этапов: автоматизированную проверку по сигнатурам и правилам перед публикацией; экспертное ревью кода силами специалистов; ведение публичного Реестра решений сторонних разработчиков с выявленными уязвимостями — с указанием модуля, уязвимых версий, разработчика и рекомендаций по устранению, доступного также через RSS; мониторинг инцидентов и оперативное реагирование на возможную эксплуатацию уязвимостей.
Автоматическая проверка решений применяется в программе уже длительное время. ИИ-аудит усилит её возможности в тех случаях, где формальных правил и сигнатур недостаточно — на уровне контекстного понимания кода, что позволяет в автоматическом режиме выявлять менее очевидные типы уязвимостей.
Классификация находок осуществляется по отраслевым стандартам — CWE и OWASP Top 10, а оценка серьёзности — по CVSS.
Ответственность за код модуля и устранение выявленных в нём уязвимостей несёт компания-разработчик. Задача платформы — обнаружить проблему, установить сроки её устранения, контролировать их соблюдение и обеспечить защиту пользователей на период, пока разработчик готовит исправление.
Процесс реагирования основан на принципе координированного раскрытия информации. Он уже действует, является единым для всех и не изменится с внедрением ИИ-уровня.
Для новых и обновляемых версий модулей. Наличие уязвимостей блокирует публикацию версии до их устранения — уязвимый код не попадает в маркетплейс, пока разработчик не решит проблему.
Для решений, которые уже были опубликованы. Разработчик получает в первоочередном порядке отчет с указанием места проблемы и обязан исправить ее в обозначенные сроки. До момента выхода исправления информация об уязвимости не разглашается публично — это предотвращает появление эксплойтов до того, как компания-разработчик выпустит патч. После того как исправление подготовлено, разработчик уведомляет пользователей своего модуля о выходе обновления, проводится дополнительная верификация хотфикса на уровне платформы, а также платформа дополнительно оповещает клиентов с уязвимой версией о необходимости установки обновления через собственные каналы связи.
Если разработчик отказывается устранять уязвимость, модуль удаляется из публикации в маркетплейсе, а пользователям сообщается о необходимости прекратить его использование — такая практика уже применялась ранее.
Повторная проверка ранее опубликованных решений является стандартной частью программы «Безопасные интеграции». По мере совершенствования методологии, включая внедрение ИИ-аудита, размещенные в Маркетплейсе решения проходят повторную проверку в рамках планового цикла. Обнаруженные проблемы обрабатываются по тому же единому процессу: разработчик уведомляется в приоритетном порядке, при необходимости и в соответствии с принципом координированного раскрытия информация добавляется в публичный реестр, а пользователи модуля получают необходимые рекомендации.
«1С-Битрикс» следует принципу координированного раскрытия уязвимостей. Публичный реестр существует именно для того, чтобы сведения о проблемах внешних решений доходили до конечных пользователей быстрее, чем потенциальные эксплойты — и чтобы у клиентов всегда была возможность самостоятельно проверить безопасность установленных модулей.
Для поиска уязвимостей в самой системе «1С-Битрикс: Управление сайтом» компания приглашает независимых исследователей безопасности продолжать тестирование экосистемы — в рамках публичной программы на Standoff Bug Bounty.
В компании подчеркивают, что ИИ-аудит — это не завершающий этап, а очередная веха развития программы «Безопасные интеграции». Цель заключается в том, чтобы клиенты Маркетплейса получали не просто проверенные решения, а решения, чья безопасность поддерживается на протяжении всего жизненного цикла: от первой строки кода до обновлений уже установленного модуля.
