Безопасность прикладного программного интерфейса сервера

🟡Любая серверная функция, доступная с клиента, потенциально опасна.

🟡Не размещайте бизнес‑логику в модуле формы: оставляйте там только взаимодействие и работу с реквизитами.

🟡Привилегированный режим и модули с флагом «Вызов сервера» тщательно тестируйте.

🟡«Внешний» код и произвольные запросы на сервере — источник рисков (утечки, порча данных, зависания).

🟡На клиент передавайте только итог, не отдавайте промежуточные/чувствительные данные.

#std678
https://v8std.ru/std/678/

Использование объектов типа Структура

🟡Не передавайте в конструктор структуры больше 3 значений — остальное через Вставить или свойства.

🟡Не вкладывайте конструкторы других объектов с параметрами внутрь Новый Структура(...).

🟡Не вызывайте в конструкторе функции с большим числом параметров.

🟡Не добавляйте свойства «разбросанно» — создавайте структуру сразу с полным набором и значениями по умолчанию.

🟡Исключения — структуры с нефиксированным форматом (внешние данные, параметры формы).

#std693
https://v8std.ru/std/693/

Открытие параметризированных форм

🟡Если форма открывается только программно и требует параметры — не делайте ее основной.

🟡Если других форм нет, можно назначить основной, но при открытии без параметров нужно выдавать понятное исключение.

🟡Параметры формы объявляйте на вкладке «Параметры» — тогда состав виден сразу.

🟡В ПриСозданииНаСервере используйте параметры напрямую, без проверок Свойство(...).

#std741
https://v8std.ru/std/741/

Размеры экрана

🟡Ориентируйтесь на типовое разрешение 1280×768 и масштаб 96 DPI (100%).

🟡Считайте, что окно развернуто на весь экран, но часть высоты занимает панель задач и браузера.

🟡Рабочая область — примерно 1280×668.

🟡Формы должны помещаться без горизонтальной и вертикальной прокрутки (вертикальная допустима только в списках).

#std727
https://v8std.ru/std/727/

Ограничения на использование экспортных процедур и функций

🟡Не размещайте экспортные процедуры и функции в модулях команд и общих команд.

🟡К этим модулям нельзя обращаться извне, поэтому экспорт там бесполезен.

#std544
https://v8std.ru/std/544/

Безопасность программного обеспечения, вызываемого через открытые интерфейсы

🟡 При использовании интеграции со сторонними приложениями с помощью открытых интерфейсов (в частности, с помощью COM) требуется отключать исполнение произвольного кода средствами вызываемого приложения.

🟡 В частности, перед программным открытием документов Microsoft Word и Microsoft Excel через COM следует запрещать исполнение макросов.

🟡 «Разрешить запуск подписанных макросов (рекомендуется)» (выбран по умолчанию).

🟡 Форма настройки для клиентского кода должна быть доступна каждому пользователю, настройки должны сохраняться в разрезе пользователей, каждому пользователью должны быть доступны только свои настройки.

#std775
https://v8std.ru/std/775/

Поля «Ответственный» и «Комментарий»

🟡 Если в типовых сценариях комментарии обычно длинные, используйте многострочный вариант на отдельной вкладке.

🟡 Располагайте внизу формы документа, последним полем.

🟡 Заголовок Комментарий выводите в названии вкладки, а у самого поля заголовок не отображайте.

🟡 Поле Ответственный выводите в нижней части формы документа.

#std719
https://v8std.ru/std/719/

Открытие форм

🟡 Для открытия форм используйте метод ОткрытьФорму.

🟡 Если форма требует параметризации при открытии, передавайте все параметры через набор параметров формы.

🟡 Не используйте альтернативные способы параметризации формы при открытии.

🟡 Результат работы формы получайте через обработчики оповещений.

#std404
https://v8std.ru/std/404/

Обработчик события ОбработкаПроверкиЗаполнения

🟡 В обработчике ОбработкаПроверкиЗаполнения проверяйте корректность заполнения реквизитов шапки, табличных частей и других данных до записи.

🟡 Если проверка заполнения условная, в коде удаляйте такие реквизиты из массива ПроверяемыеРеквизиты.

🟡 Не используйте альтернативные схемы условной проверки, чтобы проверки оставались прозрачными для свойства «Проверка заполнения».

🟡 Учитывайте, что обработчик вызывается не при каждой записи; при обмене данными анализируйте ДополнительныеСвойства.ОтложенноеПроведение.

#std463
https://v8std.ru/std/463/

🔖ЧёПоСтандартам: инструкция, которую никто не читает, а потом страдает

Стандарты 1С часто воспринимают как “про оформление кода”: отступы, скобки, переносы.

Но в какой-то момент выясняется: в стандартах уже есть ответы на кучу типовых рабочих ситуаций, из-за которых мы спорим в ревью, ломаем архитектуру и тратим часы на “ну я так привык”.

На стриме разберем:
➡️ Стандарты глазами новичка: что я думал о них в начале и почему это было наивно.
➡️ Почему в вакансиях требуют, но на собеседованиях редко спрашивают.
➡️ Страх опозориться: как он мешает и как превращается в мотивацию (в том числе через блогинг).
➡️ Открытие “в стандартах ответы”: как быстро находить нужные места и применять их к задачам, а не к “красоте кода”.
➡️ Главный вывод: стандарты нужно периодически перечитывать, потому что память и реальность расходятся.

Приглашенный гость:
😶‍🌫️Роман Чумадин, автор блога «Е.БУДНИ программиста 1С» и рубрики «ЧёПоСтандартам».

Формат: разговор + разбор примеров + вопросы из чата.

😉 Ссылка на стрим
😄 Запись после стрима
🥰 Запись после стрима

🗓 Дата: 3 марта в 19:00
🧩 Кидайте заранее кейсы из практики: “как правильно по стандартам вот это сделать?” и “почему у нас в команде вечная война на эту тему”.

Правила создания общих модулей

🟡 Общие модули создавайте для процедур и функций, объединенных по одному признаку.

🟡 При разработке общих модулей выбирайте один из четырех контекстов выполнения.

🟡 Серверные общие модули используйте для внутренней серверной бизнес-логики.

🟡 Именуйте по общим правилам именования.

#std469
https://v8std.ru/std/469/

Имена объектов метаданных в конфигурациях

🟡 Именуйте объекты метаданных по общим правилам именования, без лишних технических слов в названиях.

🟡 Для ролей разделяйте схему именования: прикладные роли называйте по должности, технические — по разрешаемому действию.

🟡 Подписки на события называйте от сути действия и образуйте имя от неопределенной формы глагола.

🟡 Функциональные опции и их параметры именуйте по включаемой функциональности и смыслу параметра, а не по внутренней реализации.

#std550
https://v8std.ru/std/550/

Использование функциональных опций

🟡 Управляйте необязательной функциональностью через функциональные опции, а их значения храните в данных информационной базы.

🟡 Для контекстной доступности функциональности используйте параметризованные функциональные опции и устанавливайте параметры опций формы.

🟡 После изменения значений функциональных опций вызывайте ОбновитьИнтерфейс, чтобы командам и элементам формы применились новые ограничения.

🟡 Не перегружайте систему параметрами опций: исключайте дубли и не параметризуйте по данным с очень большим числом значений.

#std470
https://v8std.ru/std/470/

Использование параметров сеанса

🟡 Используйте параметры сеанса для значений, которые нужны в рамках текущего сеанса, запросов и ограничений доступа к данным.

🟡 Не храните в параметрах сеанса значения, нужные только клиентской логике: для этого применяйте глобальные переменные приложения.

🟡 Не используйте параметры сеанса как кеш вычислений серверной бизнес-логики; выносите такие вычисления в серверные функции с повторным использованием.

🟡 Инициализируйте параметры сеанса по требованию в обработчике УстановкаПараметровСеанса, а не массово при старте программы.

#std413
https://v8std.ru/std/413/

Использование подсистем

🟡 Используйте подсистемы для двух задач: построения разделов командного интерфейса и функциональной группировки объектов метаданных.

🟡 Если интерфейсная и функциональная структуры не совпадают, создавайте отдельную иерархию функциональных подсистем без включения в командный интерфейс.

🟡 Объекты без визуального представления в интерфейсе включайте только в функциональные подсистемы.

🟡 Команды администрирования выносите в раздел «Настройка и администрирование», сохраняя логическую группировку объектов по функциональному назначению.

#std543
https://v8std.ru/std/543/