Классификация «находок» ведётся по индустриальным стандартам — CWE и OWASP Top 10, оценка серьезности — по CVSS.
Центр информационной безопасности «1С-Битрикс» внедрил новый уровень контроля для сторонних решений. Теперь для публикации на маркетплейсе, где представлено свыше 2000 модулей и приложений, используется анализ кода на базе искусственного интеллекта.
Новый ИИ-аудит дополняет существующую многоуровневую систему защиты, которая уже включает статический анализ, проверку специалистами и ведение публичного реестра уязвимостей. По словам представителей компании, это собственная инициатива, направленная на развитие безопасности всей экосистемы.
Особенность ИИ-аудита — способность выявлять нетипичные и сложные уязвимости, которые могут быть пропущены стандартными автоматическими проверками. Все найденные проблемы классифицируются по международным стандартам, а за их устранение несёт ответственность разработчик модуля.
Процесс реагирования не изменился. При обнаружении угрозы в новом решении его публикация блокируется. Если уязвимость найдена в уже размещённом модуле, разработчик получает отчёт и обязан выпустить исправление в установленный срок. До выхода патча информация о проблеме не разглашается, чтобы защитить пользователей. В случае отказа от сотрудничества модуль удаляется с маркетплейса.
