Merge pull request #3004 from artbear/SetPrivilegedMode

Author: nixel2007

docs/diagnostics/SetPrivilegedMode.md

@@ -0,0 +1,69 @@
+# Использование привилегированного режима (SetPrivilegedMode)
+
+<!-- Блоки выше заполняются автоматически, не трогать -->
+## Описание диагностики
+<!-- Описание диагностики заполняется вручную. Необходимо понятным языком описать смысл и схему работу -->
+Текущее правило находит код установки привилегированного режима.
+Для внешнего кода, например, кода из внешних отчетов\обработок, это действие может быть небезопасным.
+
+По найденным замечаниям необходимо выполнить ручной аудит кода на предмет его правильности и безопасности.
+
+Правило находит вызовы метода `УстановитьПривилегированныйРежим`
+  вызов `УстановитьПривилегированныйРежим(Ложь)` игнорируется
+
+Потенциально опасны любые экспортные процедуры и функции, которые выполняют на сервере какие-либо действия с предварительной безусловной установкой привилегированного режима, так как это отключает проверку прав доступа текущего пользователя. Особого внимания требуют экспортные процедуры и функции клиентского прикладного программного интерфейса сервера 1С:Предприятия.
+
+Например, неправильно:
+```bsl
+Процедура ИзменитьИлиУдалитьДанные(...) Экспорт
+
+УстановитьПривилегированныйРежим(Истина); // Отключаем проверку прав доступа
+// Изменяем данные в привилегированном режиме
+...
+КонецПроцедуры
+```
+Правильно:
+```bsl
+Процедура ИзменитьИлиУдалитьДанные(...) Экспорт
+
+// Изменяем данные
+// (при этом если у пользователя недостаточно прав для выполнения операции над данными, то будет вызвано исключение)
+...
+
+КонецПроцедуры
+```
+Исключение составляют случаи, когда действие, выполняемое процедурой, должно быть разрешено (или возвращаемое значение функции должно быть доступно) абсолютно всем категориям пользователей.
+
+Если все-таки необходимо использовать привилегированный режим внутри метода, следует использовать проверку прав доступа вручную, следует использовать метод `ВыполнитьПроверкуПравДоступа`.
+
+Пример предварительной проверки перед выполнением действий в привилегированном режиме:
+```bsl
+Процедура ИзменитьИлиУдалитьДанные(...) Экспорт
+
+ВыполнитьПроверкуПравДоступа(...); // Если у пользователя недостаточно прав, то будет вызвано исключение
+УстановитьПривилегированныйРежим(Истина); // Отключаем проверку прав доступа
+
+// Изменяем данные в привилегированном режиме
+...
+КонецПроцедуры
+```
+## Примеры
+<!-- В данном разделе приводятся примеры, на которые диагностика срабатывает, а также можно привести пример, как можно исправить ситуацию -->
+```bsl
+    УстановитьПривилегированныйРежим(Истина); // есть замечание
+
+    Значение = Истина;
+    УстановитьПривилегированныйРежим(Значение); // есть замечание
+
+    УстановитьПривилегированныйРежим(Ложь); // нет замечания
+```
+## Источники
+<!-- Необходимо указывать ссылки на все источники, из которых почерпнута информация для создания диагностики -->
+<!-- Примеры источников
+
+* Источник: [Стандарт: Тексты модулей](https://its.1c.ru/db/v8std#content:456:hdoc)
+* Полезная информация: [Отказ от использования модальных окон](https://its.1c.ru/db/metod8dev#content:5272:hdoc)
+* Источник: [Cognitive complexity, ver. 1.4](https://www.sonarsource.com/docs/CognitiveComplexity.pdf) -->
+* Источник: [Стандарт: Использование привилегированного режима](https://its.1c.ru/db/v8std/content/485/hdoc)
+* Источник: [Стандарт: Безопасность прикладного программного интерфейса сервера](https://its.1c.ru/db/v8std#content:678:hdoc)
+* Источник: [Стандарт: Ограничение на выполнение «внешнего» кода](https://its.1c.ru/db/v8std/content/669/hdoc)

docs/en/diagnostics/SetPrivilegedMode.md

@@ -0,0 +1,16 @@
+# Using privileged mode (SetPrivilegedMode)
+
+<!-- Блоки выше заполняются автоматически, не трогать -->
+## Description
+<!-- Описание диагностики заполняется вручную. Необходимо понятным языком описать смысл и схему работу -->
+
+## Examples
+<!-- В данном разделе приводятся примеры, на которые диагностика срабатывает, а также можно привести пример, как можно исправить ситуацию -->
+
+## Sources
+<!-- Необходимо указывать ссылки на все источники, из которых почерпнута информация для создания диагностики -->
+<!-- Примеры источников
+
+* Источник: [Стандарт: Тексты модулей](https://its.1c.ru/db/v8std#content:456:hdoc)
+* Полезная информация: [Отказ от использования модальных окон](https://its.1c.ru/db/metod8dev#content:5272:hdoc)
+* Источник: [Cognitive complexity, ver. 1.4](https://www.sonarsource.com/docs/CognitiveComplexity.pdf) -->

src/main/java/com/github/_1c_syntax/bsl/languageserver/diagnostics/SetPrivilegedModeDiagnostic.java

@@ -0,0 +1,76 @@
+/*
+ * This file is a part of BSL Language Server.
+ *
+ * Copyright (c) 2018-2023
+ * Alexey Sosnoviy <labotamy@gmail.com>, Nikita Fedkin <nixel2007@gmail.com> and contributors
+ *
+ * SPDX-License-Identifier: LGPL-3.0-or-later
+ *
+ * BSL Language Server is free software; you can redistribute it and/or
+ * modify it under the terms of the GNU Lesser General Public
+ * License as published by the Free Software Foundation; either
+ * version 3.0 of the License, or (at your option) any later version.
+ *
+ * BSL Language Server is distributed in the hope that it will be useful,
+ * but WITHOUT ANY WARRANTY; without even the implied warranty of
+ * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
+ * Lesser General Public License for more details.
+ *
+ * You should have received a copy of the GNU Lesser General Public
+ * License along with BSL Language Server.
+ */
+package com.github._1c_syntax.bsl.languageserver.diagnostics;
+
+import com.github._1c_syntax.bsl.languageserver.diagnostics.metadata.DiagnosticMetadata;
+import com.github._1c_syntax.bsl.languageserver.diagnostics.metadata.DiagnosticScope;
+import com.github._1c_syntax.bsl.languageserver.diagnostics.metadata.DiagnosticSeverity;
+import com.github._1c_syntax.bsl.languageserver.diagnostics.metadata.DiagnosticTag;
+import com.github._1c_syntax.bsl.languageserver.diagnostics.metadata.DiagnosticType;
+import com.github._1c_syntax.bsl.parser.BSLParser;
+import com.github._1c_syntax.utils.CaseInsensitivePattern;
+
+import java.util.Optional;
+import java.util.regex.Pattern;
+
+@DiagnosticMetadata(
+  type = DiagnosticType.SECURITY_HOTSPOT,
+  severity = DiagnosticSeverity.MAJOR,
+  minutesToFix = 1,
+  tags = {
+    DiagnosticTag.SUSPICIOUS
+  },
+  scope = DiagnosticScope.BSL
+)
+
+public class SetPrivilegedModeDiagnostic extends AbstractFindMethodDiagnostic {
+  private static final Pattern messagePattern = CaseInsensitivePattern.compile(
+    "УстановитьПривилегированныйРежим|SetPrivilegedMode");
+
+  public SetPrivilegedModeDiagnostic() {
+    super(messagePattern);
+  }
+
+  @Override
+  protected boolean checkGlobalMethodCall(BSLParser.GlobalMethodCallContext ctx) {
+    final var result = super.checkGlobalMethodCall(ctx);
+    if (result && (isSetPrivilegedModeWithFalse(ctx))) {
+      return false;
+    }
+    return result;
+  }
+
+  private static boolean isSetPrivilegedModeWithFalse(BSLParser.GlobalMethodCallContext ctx) {
+    return Optional.of(ctx)
+      .map(BSLParser.GlobalMethodCallContext::doCall)
+      .map(BSLParser.DoCallContext::callParamList)
+      .map(BSLParser.CallParamListContext::callParam)
+      .filter(callParamContexts -> callParamContexts.size() == 1)
+      .map(callParamContexts -> callParamContexts.get(0))
+      .map(BSLParser.CallParamContext::expression)
+      .map(BSLParser.ExpressionContext::member)
+      .map(memberContexts -> memberContexts.get(0))
+      .map(BSLParser.MemberContext::constValue)
+      .filter(constValueContext -> constValueContext.FALSE() != null)
+      .isPresent();
+  }
+}

src/main/resources/com/github/_1c_syntax/bsl/languageserver/configuration/parameters-schema.json

@@ -1664,6 +1664,16 @@
             },
             "$id": "#/definitions/SetPermissionsForNewObjects"
         },
+        "SetPrivilegedMode": {
+            "description": "Using privileged mode",
+            "default": true,
+            "type": [
+                "boolean",
+                "object"
+            ],
+            "title": "Using privileged mode",
+            "$id": "#/definitions/SetPrivilegedMode"
+        },
         "SeveralCompilerDirectives": {
             "description": "Erroneous indication of several compilation directives",
             "default": true,

src/main/resources/com/github/_1c_syntax/bsl/languageserver/diagnostics/SetPrivilegedModeDiagnostic_en.properties

@@ -0,0 +1,2 @@
+diagnosticMessage=Check the privileged mode setting
+diagnosticName=Using privileged mode

src/main/resources/com/github/_1c_syntax/bsl/languageserver/diagnostics/SetPrivilegedModeDiagnostic_ru.properties

@@ -0,0 +1,2 @@
+diagnosticMessage=Проверьте установку привилегированного режима
+diagnosticName=Использование привилегированного режима

src/test/java/com/github/_1c_syntax/bsl/languageserver/diagnostics/SetPrivilegedModeDiagnosticTest.java

@@ -0,0 +1,46 @@
+/*
+ * This file is a part of BSL Language Server.
+ *
+ * Copyright (c) 2018-2023
+ * Alexey Sosnoviy <labotamy@gmail.com>, Nikita Fedkin <nixel2007@gmail.com> and contributors
+ *
+ * SPDX-License-Identifier: LGPL-3.0-or-later
+ *
+ * BSL Language Server is free software; you can redistribute it and/or
+ * modify it under the terms of the GNU Lesser General Public
+ * License as published by the Free Software Foundation; either
+ * version 3.0 of the License, or (at your option) any later version.
+ *
+ * BSL Language Server is distributed in the hope that it will be useful,
+ * but WITHOUT ANY WARRANTY; without even the implied warranty of
+ * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
+ * Lesser General Public License for more details.
+ *
+ * You should have received a copy of the GNU Lesser General Public
+ * License along with BSL Language Server.
+ */
+package com.github._1c_syntax.bsl.languageserver.diagnostics;
+
+import org.eclipse.lsp4j.Diagnostic;
+import org.junit.jupiter.api.Test;
+
+import java.util.List;
+
+import static com.github._1c_syntax.bsl.languageserver.util.Assertions.assertThat;
+
+class SetPrivilegedModeDiagnosticTest extends AbstractDiagnosticTest<SetPrivilegedModeDiagnostic> {
+  SetPrivilegedModeDiagnosticTest() {
+    super(SetPrivilegedModeDiagnostic.class);
+  }
+
+  @Test
+  void test() {
+
+    List<Diagnostic> diagnostics = getDiagnostics();
+
+    assertThat(diagnostics, true)
+      .hasRange(2, 4, 36)
+      .hasRange(4, 4, 36)
+      .hasSize(2);
+  }
+}

src/test/resources/diagnostics/SetPrivilegedModeDiagnostic.bsl

@@ -0,0 +1,8 @@
+&НаСервере
+Процедура Метод()
+    УстановитьПривилегированныйРежим(Истина); // есть замечание
+    Значение = Истина;
+    УстановитьПривилегированныйРежим(Значение); // есть замечание
+
+    УстановитьПривилегированныйРежим(Ложь); // нет замечания
+КонецПроцедуры