Форум

[QUOTE] написал:
Нельзя в подобных системах как Битрикс, в котором под капотом жуткое легаси - провести 100%-е код-ревью на абсолютно все уязвимости, как вы это не поймете. А уж детские ошибки в коде от АСПРО - ну это показатель квалификации их разрабов. не бывает абсолютно безопасного ПО, запомните.В общем, спасение утопающих - дело рук их самих.[/QUOTE]
Как зарабатывать на партнерах - то это всегда пожалуйста, а как разбираться с уязвимостями - то "спасение утопающих дело рук самих утопающих". Удобная позиция, безусловно. Старый принцип - "национализация убытков, приватизация прибылей".

Думаю, что было бы правильным добавить в типовой "Сканер безопасности" от Битрикса функции обнаружения в коде всех серьезных уязвимостей в ядре Битрикса и в любых дополнительных модулях. "Сканер безопасности" должен сигнализировать админу сайта на почту об обнаружении любых уязвимостей в коде с указанием конкретного файла и строки. Причем "Сканер безопасности" должен сканировать код сайта автоматически, например ежеденевно и должен обновлять свои сигнатуры удаленно, даже если ядро Битрикса не обновлено до последней версии.

/bitrix/admin/security_scanner.php?lang=ru

В целом проблема уязвимостей в коде - это ответственность не пользователей и даже не разработчиков модулей, а Битрикса, т.к. модули распространяются через Маркетплейс Битрикса и при размещении модулей Битрикс обязан проверять их на уязвимости и гарантировать отсутствие уязвимостей в коде модулей перед пользователями. Если какие-то уязвимости не были обнаружены до размещения модуля в Маркетплейсе, то это прежде всего косяк самого Битрикса. Именно Битрикс должен предпринимать все меры по решению возникших проблем, а не самоустраняться от их решения или переводить стрелки на разработчиков модулей.

[QUOTE] написал:
также удивило, что с учетом массовости проблемы, до сих пор в Маркетплейсе нет решений от разработчиков, которые решают эту проблему, хотя... может плохо искал и уже есть.[/QUOTE]
Необходим дополнительный модуль, который сканирует кода сайта на Битриксе на предмет присутствия в коде любых широко известных уязвимостей и как минимум сигнализирует о них, а лучше - сразу исправляет. Модуль должен регулярно обновляться.

Не все могут себе позволить держать постоянно обновленное ядро Битрикса, все решения и все модули сайта - это довольно трудоемкая и дорогая задача для большинства пользователей.

Может кто-то собрать полный список уязвимых файлов, которые нужно патчить?

Потому, что кроме тех файлов, которые указаны в статьях на сайте Аспро есть еще файлы, которые там не указаны, но которые тоже необходимо патчить.

[URL=https://aspro.ru/news/vzlomy-saytov-aspro/]https://aspro.ru/news/vzlomy-saytov-aspro/[/URL]

Вот здесь например есть несколько дополнительных уязвимых файлов:

[URL=https://rushstudio.by/blog/razrabotchiku/novaya-volna-virusov-na-bitriks-v-2025-godu/]https://rushstudio.by/blog/razrabotchiku/novaya-volna-virusov-na-bitriks-v-2025-godu/[/URL]

Программист PHP/Битрикс (удаленная работа)  

Обязанности:
 
[LIST]
[*]Разработка и поддержка сайтов, интернет-магазинов на платформе 1С-Битрикс
[*] Разработка новых модулей и компонентов
[*]Интеграция сайтов со сторонними сервисами;
[*] Настройка интеграции сайтов на 1С-Битрикс с 1С:Управление торговлей
[/LIST] Требования:
[LIST]
[*]Опыт работы с 1С-Битрикс от 3-х лет
[*] Знание на хорошем уровне Bitrix API и архитектуры Bitrix24, Bitrix Управление Сайтом
[*] Знание на хорошем уровне PHP5.3+, MySQL 5.0+, JS, jQuery, AJAX, HTML5, CSS3
[*] Использование систем контроля версий Git
[*] Знание Bitrix Framework
[*] Наличие успешно реализованных проектов
[*]Умение быстро решать поставленные задачи и рационально подходить к процессу разработки
[*] Наличие сертификата разработчика Bitrix Framework и других сертификатов Bitrix
[/LIST]
 Условия:
[LIST]
[*]Удаленная работа, home office
[*]Оплата - почасовая оплата, по договоренности
[*]Ваш часовой пояс: московский или плюс-минус 1-2 часа.
[*]Постановка задач и учет времени ведется через портал технической поддержки и через Битрикс24
[*]Работа по договору
[/LIST]
 Резюме высылать на [URL=mailto:vacancy@u-ma.ru]vacancy@u-ma.ru[/URL]
 
 Вопросы по скайпу: umacommerce

"UMA Digital"

[URL=http://u-ma.ru]http://u-ma.ru[/URL]

В агентство электронной коммерции "Ума" [URL=http://u-ma.ru/]http://u-ma.ru/[/URL] (Москва, Дубна) требуется менеджер по продажам услуг и продуктов компании - разработка веб-сайтов, интернет-магазинов, техническая поддержка сайтов, продажа лицензий, модулей и продуктов "Битрикс" и других производителей программного обеспечения.

Обязанности:
- Отвечать на входящие звонки, письма, заявки, чаты
- Готовить коммерческие предложения
- Вести переговоры с клиентами
- Продавать услуги и продукты компании
- Поездки на встречи с клиентами, на выставки, конференции (Москва и МО)

Оплата - по результатам собеседования. Фиксированная плюс проценты с продаж.

- Опыт работы в продажах в сфере IT от 3 лет.

- Знание программных продуктов "Битрикс" (в том числе опыт работы с CRM Битрикс24)
- Желательно наличие сертификатов "Битрикс"
- Владение офисными программами
- Коммуникабельность
- Целеустремленность
- Организованность
- Стрессоустойчивость
- Грамотная устная и письменная речь
- Четкая дикция и приятный голос

Резюме присылайте на адрес: [URL=mailto:vacancy@u-ma.ru]vacancy@u-ma.ru
[/URL]
Вопросы по скайпу: umacommerce

Требуется программист Битрикс для разработки и доработки сайтов, интернет-магазинов на Битриксе и других движках.

Оплата - почасовая, 600-800 рублей в час.

ТРЕБОВАНИЯ:
[LIST]
[*]Опыт работы с Битриксом: от 3 лет
[*]Наличие сертификатов (курсов): Разработчик Bitrix Framework, Администрирование, Интеграция с 1С
[*]Знание PHP, MySQL, Javascript, JQuery, XML
[*]Опыт работы с GIT
[/LIST]УСЛОВИЯ
[LIST]
[*]Работа - удаленная
[*]График - свободный
[*]Оплата - сдельная, почасовая оплата 600-800 рублей в час.
[*]Ваш часовой пояс: Московский или плюс-минус 1-2 часа.
[*]Постановка задач и учет времени ведется через портал технической поддержки
[*]Задачи ставит и контролирует менеджер
[/LIST]Присылайте пожалуйста ваше резюме на почту [URL=mailto:vacancy@u-ma.ru]vacancy@u-ma.ru[/URL]

Вопросы по Скайпу: umacommerce

[URL=http://u-ma.ru/]http://u-ma.ru/[/URL]

Напишите в скайп: umacommerce

Есть проекты на доработку на Битриксе и других движках (в том числе самописных). Готовы взяться?

Скайп: umacommerce

Требуется программист Битрикс на интересный, сложный highload проект.

В проекте будут использоваться highload инфоблоки, поисковая машина Sphinx, парсер XLS файлов, интеграция с 1С.

ТРЕБОВАНИЯ:
[LIST]
[*]Опыт работы с Битриксом: от 3 лет
[*]Наличие сертификатов (курсов): Разработчик Bitrix Framework, Интеграция с 1С, Разработка и эксплуатация высоконагруженных проектов
[*]Опыт работы со Sphinx (желательно)
[*]Портфолио ваших работ (обязательно!)
[*]Умение работать с Git
[/LIST]УСЛОВИЯ
[LIST]
[*]Работа - удаленная
[*]График - свободный
[*]Оплата - сдельная
[*]Работа по ТЗ. Техзадание вышлю на почту или в скайп
[*]Управление проектом ведется через облачный Битрикс 24
[*]Наличие свободного времени не менее 4 часов в день в ближайшие 3 месяца (проект довольно большой и сложный).
[/LIST]
Если вас устраивают требования и условия, присылайте ссылки на ваши работы, примеры ваших модулей, компонентов, оставляйте в комментариях вашу почту или скайп - вышлю техзадание на оценку.

Вопросы по скайпу: umacommerce