Безопасность программного обеспечения, вызываемого через открытые интерфейсы

🟡 При использовании интеграции со сторонними приложениями с помощью открытых интерфейсов (в частности, с помощью COM) требуется отключать исполнение произвольного кода средствами вызываемого приложения.

🟡 В частности, перед программным открытием документов Microsoft Word и Microsoft Excel через COM следует запрещать исполнение макросов.

🟡 «Разрешить запуск подписанных макросов (рекомендуется)» (выбран по умолчанию).

🟡 Форма настройки для клиентского кода должна быть доступна каждому пользователю, настройки должны сохраняться в разрезе пользователей, каждому пользователью должны быть доступны только свои настройки.

#std775
https://v8std.ru/std/775/

Поля «Ответственный» и «Комментарий»

🟡 Если в типовых сценариях комментарии обычно длинные, используйте многострочный вариант на отдельной вкладке.

🟡 Располагайте внизу формы документа, последним полем.

🟡 Заголовок Комментарий выводите в названии вкладки, а у самого поля заголовок не отображайте.

🟡 Поле Ответственный выводите в нижней части формы документа.

#std719
https://v8std.ru/std/719/

Открытие форм

🟡 Для открытия форм используйте метод ОткрытьФорму.

🟡 Если форма требует параметризации при открытии, передавайте все параметры через набор параметров формы.

🟡 Не используйте альтернативные способы параметризации формы при открытии.

🟡 Результат работы формы получайте через обработчики оповещений.

#std404
https://v8std.ru/std/404/

Обработчик события ОбработкаПроверкиЗаполнения

🟡 В обработчике ОбработкаПроверкиЗаполнения проверяйте корректность заполнения реквизитов шапки, табличных частей и других данных до записи.

🟡 Если проверка заполнения условная, в коде удаляйте такие реквизиты из массива ПроверяемыеРеквизиты.

🟡 Не используйте альтернативные схемы условной проверки, чтобы проверки оставались прозрачными для свойства «Проверка заполнения».

🟡 Учитывайте, что обработчик вызывается не при каждой записи; при обмене данными анализируйте ДополнительныеСвойства.ОтложенноеПроведение.

#std463
https://v8std.ru/std/463/

🔖ЧёПоСтандартам: инструкция, которую никто не читает, а потом страдает

Стандарты 1С часто воспринимают как “про оформление кода”: отступы, скобки, переносы.

Но в какой-то момент выясняется: в стандартах уже есть ответы на кучу типовых рабочих ситуаций, из-за которых мы спорим в ревью, ломаем архитектуру и тратим часы на “ну я так привык”.

На стриме разберем:
➡️ Стандарты глазами новичка: что я думал о них в начале и почему это было наивно.
➡️ Почему в вакансиях требуют, но на собеседованиях редко спрашивают.
➡️ Страх опозориться: как он мешает и как превращается в мотивацию (в том числе через блогинг).
➡️ Открытие “в стандартах ответы”: как быстро находить нужные места и применять их к задачам, а не к “красоте кода”.
➡️ Главный вывод: стандарты нужно периодически перечитывать, потому что память и реальность расходятся.

Приглашенный гость:
😶‍🌫️Роман Чумадин, автор блога «Е.БУДНИ программиста 1С» и рубрики «ЧёПоСтандартам».

Формат: разговор + разбор примеров + вопросы из чата.

😉 Ссылка на стрим
😄 Запись после стрима
🥰 Запись после стрима

🗓 Дата: 3 марта в 19:00
🧩 Кидайте заранее кейсы из практики: “как правильно по стандартам вот это сделать?” и “почему у нас в команде вечная война на эту тему”.

Правила создания общих модулей

🟡 Общие модули создавайте для процедур и функций, объединенных по одному признаку.

🟡 При разработке общих модулей выбирайте один из четырех контекстов выполнения.

🟡 Серверные общие модули используйте для внутренней серверной бизнес-логики.

🟡 Именуйте по общим правилам именования.

#std469
https://v8std.ru/std/469/

Имена объектов метаданных в конфигурациях

🟡 Именуйте объекты метаданных по общим правилам именования, без лишних технических слов в названиях.

🟡 Для ролей разделяйте схему именования: прикладные роли называйте по должности, технические — по разрешаемому действию.

🟡 Подписки на события называйте от сути действия и образуйте имя от неопределенной формы глагола.

🟡 Функциональные опции и их параметры именуйте по включаемой функциональности и смыслу параметра, а не по внутренней реализации.

#std550
https://v8std.ru/std/550/

Использование функциональных опций

🟡 Управляйте необязательной функциональностью через функциональные опции, а их значения храните в данных информационной базы.

🟡 Для контекстной доступности функциональности используйте параметризованные функциональные опции и устанавливайте параметры опций формы.

🟡 После изменения значений функциональных опций вызывайте ОбновитьИнтерфейс, чтобы командам и элементам формы применились новые ограничения.

🟡 Не перегружайте систему параметрами опций: исключайте дубли и не параметризуйте по данным с очень большим числом значений.

#std470
https://v8std.ru/std/470/

Использование параметров сеанса

🟡 Используйте параметры сеанса для значений, которые нужны в рамках текущего сеанса, запросов и ограничений доступа к данным.

🟡 Не храните в параметрах сеанса значения, нужные только клиентской логике: для этого применяйте глобальные переменные приложения.

🟡 Не используйте параметры сеанса как кеш вычислений серверной бизнес-логики; выносите такие вычисления в серверные функции с повторным использованием.

🟡 Инициализируйте параметры сеанса по требованию в обработчике УстановкаПараметровСеанса, а не массово при старте программы.

#std413
https://v8std.ru/std/413/

Использование подсистем

🟡 Используйте подсистемы для двух задач: построения разделов командного интерфейса и функциональной группировки объектов метаданных.

🟡 Если интерфейсная и функциональная структуры не совпадают, создавайте отдельную иерархию функциональных подсистем без включения в командный интерфейс.

🟡 Объекты без визуального представления в интерфейсе включайте только в функциональные подсистемы.

🟡 Команды администрирования выносите в раздел «Настройка и администрирование», сохраняя логическую группировку объектов по функциональному назначению.

#std543
https://v8std.ru/std/543/

Ограничения на использование Выполнить и Вычислить на сервере

🟡 Не выполняйте на сервере строки кода, собранные из внешних параметров, без строгого контроля источника и содержимого.

🟡 Перед вызовом Выполнить и Вычислить на сервере включайте безопасный режим, а в сервисной модели дополнительно включайте безопасный режим разделения данных.

🟡 По возможности используйте безопасные обертки БСП вместо прямого вызова Выполнить и Вычислить.

🟡 Код, который нельзя запускать в безопасном режиме, выполняйте только после аудита и только из контролируемого администратором хранилища.

#std770
https://v8std.ru/std/770/

Транзакции: правила использования

🟡 Начинайте и завершайте транзакцию в одном методе: пары НачатьТранзакцию и ЗафиксироватьТранзакцию`/`ОтменитьТранзакцию не разносите по разным функциям.

🟡 Размещайте ЗафиксироватьТранзакцию последней операцией в блоке Попытка, чтобы после фиксации не возникали новые исключения.

🟡 В блоке Исключение сначала вызывайте ОтменитьТранзакцию, затем выполняйте логирование и завершайте обработку оператором ВызватьИсключение.

🟡 Избегайте лишних, вложенных и длинных транзакций: открывайте их только для действительно неделимых операций.

#std783
https://v8std.ru/std/783/

Работа с пользовательскими настройками

🟡 Для каждой настройки в хранилище общих настроек используйте уникальный строковый ключ.

🟡 В конфигурации должно быть общее место для редактирования всех пользовательских настроек.

🟡 Если позже будет создан пользователь с прежним именем, он получит ранее сохраненные настройки.

🟡 При необходимости перенос настроек между узлами реализуйте отдельно средствами встроенного языка.

#std557
https://v8std.ru/std/557/

Версия платформы 1С:Предприятие для разработки

🟡 Для решений государственных учреждений при этом новый релиз платформы должен быть сертифицирован в короткие сроки.

🟡 В качестве рекомендуемой версии указывается последний опубликованный релиз 8.3.15, если в нем улучшены функции, важные для пользователей.

🟡 В этом случае пользователи могут продолжать работу на текущем сертифицированном релизе и одновременно получают рекомендацию по обновлению.

🟡 В прикладных решениях для государственных учреждений, оборонных предприятий и корпоративных клиентов рекомендуемая версия может быть выше версии, на которой основан последний сертифицированный релиз.

#std785
https://v8std.ru/std/785/

Начальные действия при работе конфигурации

🟡 Для подробного протокола выполненных операций и ошибок используйте журнал регистрации.

🟡 Если в конфигурации используется Библиотека стандартных подсистем, применяйте подсистему Обновление версии ИБ.

🟡 Ситуации, когда обработка выполнена не полностью, должны контролироваться конфигурацией.

🟡 Проверяйте соблюдение стандарта при доработках и перед выпуском релиза.

#std556
https://v8std.ru/std/556/

Поддержка толстого клиента, управляемое приложение, клиент-сервер

🟡 Не устанавливайте признак Вызов сервера всем модулям с признаком Сервер.

🟡 Для расстановки фрагментов кода с инструкциями препроцессора можно использовать обработку с ИТС.

🟡 Обработчики ОбработкаПолученияДанныхВыбора и ОбработкаПолученияФормы вызываются только на сервере, и это ограничение на них не распространяется.

🟡 В этих модулях часто есть обращения к общим модулям, доступным только на сервере.

#std680
https://v8std.ru/std/680/

Технология разветвленной разработки конфигураций

🟡 При сборке исправительной версии рекомендуется устанавливать метку с номером сборки на закладке той версии хранилища, которая идет в сборку.

🟡 При сборке плановой версии рекомендуется устанавливать метку с номером сборки на закладке той версии хранилища, конфигурация которой идет в сборку.

🟡 В исправительной версии не должно быть объемных доработок конфигурации.

🟡 Все изменения по техническому проекту переносите в основное хранилище за одну закладку.

#std709
https://v8std.ru/std/709/