2025/12/26 10:24:46

SafeERP vs SonarQube: выбор инструмента для защиты 1С в условиях импортозамещения

Автор: Римма Кулешова, менеджер продукта SafeERP компании «Газинформсервис».

Содержание

Введение

В 2025 году наблюдается заметный рост числа кибератак на российские компании в целом: за первое полугодие их количество превысило 63 тысячи, что на 27% больше, чем за аналогичный период 2024 года (по данным Positive Technologies). Атаки на системы 1С:Предприятие (бухгалтерский учет, ERP и другие модули) стали особенно частыми, поскольку это одно из самых распространенных решений в российском бизнесе. По оценкам экспертов, ущерб от таких инцидентов в России вырос на 124% в 2025 году, часто из-за уничтожения данных и резервных копий (по данным RTM Group).

Основные причины роста числа кибератак включают:

  1. Ускорение цифровизации экономики: быстрое внедрение цифровых технологий в бизнесе увеличивает поверхность атак, но меры безопасности часто отстают. Это приводит к росту уязвимостей в системах, включая , используемых для учета и ERP.
  2. Импортозамещение ПО: переход на отечественные решения, включая 1С, в рамках указа Президента №166 усилил зависимость от них, но новые системы часто имеют больше уязвимостей из-за меньшей «обкатанности» по сравнению с иностранными аналогами.
  3. Рост заказных и деструктивных кибератак: увеличение на 26% спроса на услуги хакеров и заказных атак на ИТ-системы делает 1С привлекательной целью для кражи данных или саботажа, особенно в условиях геополитической напряженности.

Поэтому вопрос защиты отечественной инфраструктуры, а особенно ERP-систем, стоит очень остро. Отечественных ERP-систем, которые рассматривает крупный бизнес, не так много. 1С занимает лидирующую позицию — около 80%. Остальные 20% делят альтернативы: «Галактика ERP», решения «Диасофт» и др. Для сравнения, глобально ущерб от киберпреступности в 2025 году оценивается в 10,5 трлн долларов, с атаками на западные ERP вроде SAP и Oracle, подчеркивая универсальность угроз.

Платформа 1С, используемая примерно 90% организаций в России, аккумулирует ключевые активы: финансовые данные, персональные сведения сотрудников, коммерческую тайну. Эволюция киберугроз требует выхода за рамки традиционных мер защиты, а безопасная разработка (DevSecOps) становится обязательной практикой, позволяющей выявлять уязвимости на этапе создания кода, минимизировать риски кибератак в будущем, а также — оперативно готовить отчеты для регуляторов.

Почему безопасность 1С критически важна?

В условиях усиления требований к информационной безопасности компании должны обеспечивать не только техническую защиту, но и соответствие законодательству: Федеральному закону №187-ФЗ «О безопасности критической информационной инфраструктуры РФ», а также приказам ФСТЭК №17 (требования к защите информации), №21 (защита персональных данных), №31 и №239 (меры по защите КИИ, включая категорирование и мониторинг), а также №117 (защита информации, содержащейся в государственных информационных системах).

Любая уязвимость в конфигурации или небезопасная доработка напрямую угрожают непрерывности бизнес-процессов, что может привести к:

  1. Утечкам конфиденциальных данных;
  2. Серьезным репутационным потерям;
  3. Значительным (в ряде случаев — оборотным, до 500 млн. руб.) штрафам со стороны регуляторов.

Таким образом, внедрение практик безопасной разработки, включающих статический и динамический анализ кода, а также конфигурации платформы, становится критически важным для защиты бизнеса.

Риски отсутствия должной защиты 1С

Отсутствие автоматизированного контроля настроек и кода открывает путь для утечек данных. Злоумышленники, используя уязвимости, могут получить доступ к финансовой отчетности, персональным данным и коммерческой тайне для последующей продажи в даркнете. По данным Group-IB, средний ущерб от утечек в России в 2025 году превышает 4,24 млн долларов на инцидент, с общим ущербом экономики до 1,5 трлн рублей. Примеры: утечки баз данных автовладельцев или банковских счетов, выставленные на продажу в даркнете (до 50 млн записей).

Не менее опасны операционные риски. Несанкционированное изменение конфигурации, внедрение шифровальщиков или деструктивное изменение алгоритмов обработки данных парализует ключевые функции бизнеса. Даже несколько часов простоя могут привести к срыву поставок, ошибкам в учете и значительным затратам на восстановление.

Системы учета и ERP в российских компаниях часто подвергаются атакам из-за обрабатываемых и хранящихся в них финансовых и операционных данных. Приведем лишь малую часть новостей, касающихся ущерба от кибератак в 2025 году.

Код безопасности 1С: зачем нужны специализированные решения и что выбирают компании

Безопасность бизнес-приложений на уже давно перестала быть предметом интереса «технарей»: от качества кода и системы настроек напрямую зависит денежный поток, непрерывность операций и риск инцидентов. Большинство атак на корпоративные системы, случаи компрометации учетных записей и воздействия на данные показывают, что обойтись «джентльменским набором» в виде антивируса и усиленного пароля на межсетевом экране уже недостаточно. Нужно выстраивать архитектуру «киберустойчивости», думать и о защитных мерах, и о скорости восстановления работоспособности систем в случае инцидента. Нужны инструменты, которые умеют анализировать саму логику приложений, конфигурации и изменения в коде.

Для этой задачи опытные ИТ- и ИБ-подразделения используют специализированные решения. Мы сравним два популярных решения: SafeERP от компании «Газинформсервис» и SonarQube от швейцарской компании SonarSource. SafeERP — это комплекс для защиты бизнес-приложений и платформы 1С, ориентированный на поиск уязвимостей, небезопасных настроек и рисковых операций в прикладных средах. SonarQube используется для статического анализа исходного кода, контроля качества и обеспечения безопасности в различных языках программирования. Далее в статье рассмотрим, как эти решения помогут защитить 1С, чем отличаются подходы и в каких сценариях каждый из них оказывается более уместным.

Подход SafeERP включает:

  1. Статический анализ (SAST): автоматическое сканирование исходного кода на уязвимости (явно заданные пароли, наличие конфиденциальной информации, запуск внешних отчетов и обработок);
  2. Динамический анализ (DAST): тестирование работающей системы на устойчивость к внешним атакам;
  3. Анализ настроек платформы 1С: проверка конфигурации и параметров безопасности;
  4. Одновременная работа с 1С и SAP в крупных компаниях (например, в период импортозамещения систем).

SonarQube Community Edition (CE) фокусируется в основном на статическом анализе качества и надежности кода через плагин для 1С (BSL). Его настройка и адаптация под специфические требования требуют значительных технических компетенций. Но есть и преимущества: решение бесплатное, вокруг него сформировалось сильное сообщество, есть поддержка множества языков; доступны версии Community Build (CB) (бесплатная) и Enterprise Edition (EE) (платная с AI-функциями).

Сравнение инструментов

Характеристика SafeERP SonarQube CE
1. Анализ кода 1С
Разработчик «Газинформсервис» (Россия) SonarSource (Швейцария)
Назначение Комплексный анализ системы «1С:Предприятие». Анализ кода 1С и контроль параметров настроек и целостности профилей безопасности информационных баз конфигураций системы. Статический анализ качества кода (универсальный инструмент с поддержкой 1С через плагин)
Функции SAST, DAST, анализ платформы SAST, качество кода
Количество проверок кода 60 проверок кода 1С
40 — фокус на ИБ		 180 проверок кода 1С
8 фокус на ИБ
Создание кастомных проверок Да (без написания кода), подходит специалисту ИБ Да (с написанием кода), обязательно знание языка Java
Цена Коммерческая (по запросу) Бесплатная
Сертификация ФСТЭК Да Нет (самостоятельная адаптация)
2. Сравнение иных функций
Контроль настроек кластера 1С Да Нет
Контроль профилей безопасности 1С Да Нет
Источники сканированияGit;
Прямое подключение к БД 1С;
Конфигуратор (с помощью толстого клиента);
Файлы в форматах zip, cf, cfe, cfu, epf, bsl;
Файловая система (сетевая папка)		 Git
Отчеты о проведенных сканированияхДашборды;
Выгрузка отчета в форматах: PDF, XLSX, SARIF, JSON		Дашборды;
Выгрузка отчета в форматах: JSON
Ключевое преимущество Готовое решение для соответствия требованиям КИИ, отечественное ПО, Сертификат ФСТЭК Бесплатное решение с широкими возможностями по анализу качества кода
Интеграция с 1С Плагин для 1С:EDT;
Модуль для анализа платформы		 Нет
Целевая аудитория Крупный бизнес, требующий полного соответствия регуляторам КИИ Команды с опытом DevOps/CICD и ограниченным бюджетом на старте

У SafeERP есть несколько ключевых преимуществ, которые важны именно для 1С-ландшафтов крупного бизнеса.

Во-первых, за продуктом стоит вендор с 20-летней историей успешной работы на российском рынке, который обеспечивает поддержку во всех жизненных циклах: от обслуживания и настройки до решений по эксплуатации и развитию.

Во-вторых, SafeERP очень гибко работает с исходным кодом и конфигурациями 1С. Для анализа можно использовать разные источники: репозиторий Git (включая сравнение веток и анализ только измененного кода), базы данных (выбор конкретных объектов и модулей, расширений и внешних обработок, измененного кода) и файловую систему. Поддерживаются все форматы экосистемы 1С — CF, CFU, CFE, BSL, ERF, EPF, что позволяет встроить проверку в реальные процессы разработки и сопровождения. В-третьих, в одном продукте выполнены анализ настроек платформы и статический анализ кода (SAST). Это дает цельное представление о рисках: можно одновременно выявить уязвимости в логике и небезопасные схемы представления данных.

Наконец, SafeERP изначально разрабатывался для крупных инсталляций 1С с большой кодовой базой, таких как Управление холдингом или 1С:ERP. Архитектура и производительность продукта сохраняются в таких условиях, поэтому анализ остается практичным и управляемым даже в очень крупных проектах.

У SonarQube возможности для анализа качества и безопасности кода базовые, и они делают его популярным выбором для небольших команд разработчиков.

Во-первых, SonarQube Community Edition (CE) — это бесплатное решение с открытым исходным кодом, которое идеально подходит для команд с ограниченным бюджетом. Оно позволяет быстро развернуть статический анализ без значительных вложений и начать отслеживать качество кода на ранних стадиях.

Во-вторых, SonarQube поддерживает широкий спектр языков программирования и платформ, включая BSL (1С), что дает возможность интегрировать его в CI/CD-пайплайны. Анализируется фокус на метриках качества (дублирование кода, сложность, покрытие тестами) и базовом выявлении уязвимостей по стандартам OWASP и CWE.

В-третьих, инструмент предоставляет понятные отчеты и дашборды, которые помогают разработчикам самостоятельно исправлять проблемы. Это особенно полезно для команд с большим количеством технических специалистов, позволяющих самостоятельно настраивать правила и интерпретировать результаты.

Однако SonarQube CE ограничен в области безопасности: он не анализирует настройки платформы, серьезные риски 1С-экосистемы и не работает с архивами вроде CF/CFU-файлов или множеством Git-веток в крупных бизнес-приложениях.

Бизнес-выгоды от внедрения практик безопасной разработки

Внедрение инструментов вроде SafeERP обеспечивает бизнесу следующие преимущества:

  1. Соответствие регуляторным требованиям: автоматизированное создание отчетов для регуляторов, минимизация риска штрафов (снижение на 30–50%, по данным о кейсах внедрения DevSecOps);
  2. Снижение операционных рисков: предотвращение инцидентов, ведущих к простоям, утечкам данных и репутационному ущербу;
  3. Экономия ресурсов: интеграция проверок в CI/CD-конвейер сокращает затраты на ручной аудит и исправление ошибок на поздних этапах, снижает «технический долг»;
  4. Повышение качества разработки: возможность безопасно выпускать обновления без риска нарушить работу критически важных систем;

Выводы

Безопасность становится обязательным условием ведения бизнеса для крупных компаний. Изменения в требованиях к информационной безопасности происходят регулярно, регуляторы постоянно усиливают контроль за защитой критических бизнес-систем: от учета до финансовых данных.

В таких условиях компаниям выгоднее заранее выработать комплексный подход к защите 1С и выбрать решения, которые закрывают не только текущие, но и потенциальные требования регуляторов. Использование зрелых инструментов, соответствующих лучшим практикам и нормативным ожиданиям, позволяет снизить риски, ускорить подготовку отчетов и быть готовыми к новым изменениям в законодательстве.

SafeERP — отечественное решение, изначально разработанное под специфику 1С и задачи крупного бизнеса. Его внедрение — это не только закрытие текущих требований по безопасности, но и долгосрочная инвестиция в устойчивость и конкурентность ИТ-ландшафта. Это оптимальный выбор для компаний, стремящихся минимизировать риски и обеспечить соответствие требованиям безопасности. SonarQube CE может служить точкой входа для команд с сильными техническими специалистами и ограниченным бюджетом. Однако его ограниченная фокусировка на безопасности и отсутствие анализа настроек платформы ограничивают его применение для полноценной защиты.

Рекомендации: для крупных компаний — SafeERP; для малого бизнеса — SonarQube с возможным последующим апгрейдом. Инвестиции в специализированные инструменты безопасной разработки следует рассматривать не как затраты, а как вклад в непрерывность бизнеса, его репутацию и стратегическое развитие.

*Версия 4.9.8 продукта SafeERP, включающая масштабные обновления по анализу кода и интеграции, проходит этап сертификации ФСТЭК. Получение сертификата запланировано на начало 2026 года. Это обеспечивает полное соблюдение строгих государственных стандартов информационной безопасности, упрощает процессы аттестации для заказчиков и повышает надежность защиты критических бизнес-приложений

Источник — «http://zdrav.expert/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:SafeERP_vs_SonarQube:_%D0%B2%D1%8B%D0%B1%D0%BE%D1%80_%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%B0_%D0%B4%D0%BB%D1%8F_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B_1%D0%A1_%D0%B2_%D1%83%D1%81%D0%BB%D0%BE%D0%B2%D0%B8%D1%8F%D1%85_%D0%B8%D0%BC%D0%BF%D0%BE%D1%80%D1%82%D0%BE%D0%B7%D0%B0%D0%BC%D0%B5%D1%89%D0%B5%D0%BD%D0%B8%D1%8F»

Править
Короткая ссылка   |  Просмотров: 5999

Реклама.

erid: 2W5zFHhua8g

Компания: ООО "Газинформсервис"

ИНН\ОГРН: 7838017968/1047833006099

Сайт: перейти
Бывший замглавы Казначейства Сергей Гуральников отказался от иска к следственным органам о возмещении вреда
Число технопарков в Москве за год выросло до 49. В них работают 2300 компаний и 76 тыс. человек
В Казахстане насчитывается 67 ветровых электростанций, 49 солнечных и 43 ГЭС
Объем российского рынка промышленных роботов за год вырос на 14% и достиг 7,86 млрд рублей
Какое неонатальное оборудование используется в России. Обзор Zdrav.Expert
Цифровые технологии – неотъемлемая часть работы врача. Опыт пермской поликлиники
Производитель вакцин Moderna объявил об увольнении 10% сотрудников из-за нехватки денег
В дыхательном оборудовании Philips снова найден брак. Из-за него умерли 8 человек
Российские технологии вместо западных: как «КОРТИС» провел комплексное оснащение больничного комплекса в г. Хотьково
Профессиональная система автоматизации ремонта медтехники. Какие у нее плюсы и зачем она сервисной компании? Опыт "Компании Киль-Казань"
Как цифровые решения повышают качество и доступность медпомощи. Опыт Удмуртии