реализация правила + precommit

Author: artbear

docs/diagnostics/ExternalAppStarting.md

@@ -0,0 +1,67 @@
+# Запуск внешних приложений (ExternalAppStarting)
+
+<!-- Блоки выше заполняются автоматически, не трогать -->
+## Описание диагностики
+<!-- Описание диагностики заполняется вручную. Необходимо понятным языком описать смысл и схему работу -->
+Для контроля безопасности кода необходимо контролировать запуск внешних приложений из кода 1С.
+
+Данное правило распространяется на все способы запуска внешних программ, в том числе:
+- КомандаСистемы
+- ЗапуститьПриложение
+- НачатьЗапускПриложения
+- ЗапуститьПриложениеАсинх
+- ПерейтиПоНавигационнойСсылке или ФайловаяСистемаКлиент.ОткрытьНавигационнуюСсылку
+- ФайловаяСистемаКлиент.ЗапуститьПрограмму (в клиентском коде) и ФайловаяСистема.ЗапуститьПрограмму (в серверном коде)
+- ФайловаяСистемаКлиент.ОткрытьПроводник
+- ФайловаяСистемаКлиент.ОткрытьФайл
+
+## Примеры
+<!-- В данном разделе приводятся примеры, на которые диагностика срабатывает, а также можно привести пример, как можно исправить ситуацию -->
+```bsl
+Процедура Метод()
+    СтрокаКоманды = "";
+    ТекущийКаталог = "";
+    ДождатьсяЗавершения = Истина;
+    ОписаниеОповещения = Неопределено;
+    ПараметрыКоманды = Новый Структура;
+
+    КомандаСистемы(СтрокаКоманды, ТекущийКаталог); // есть замечание
+    ЗапуститьПриложение(СтрокаКоманды, ТекущийКаталог); // есть замечание
+    ЗапуститьПриложение(СтрокаКоманды, ТекущийКаталог, Истина); // есть замечание
+
+    НачатьЗапускПриложения(ОписаниеОповещения, СтрокаКоманды, ТекущийКаталог, ДождатьсяЗавершения); // есть замечание
+
+    ПерейтиПоНавигационнойСсылке(СтрокаКоманды); // есть замечание
+    ФайловаяСистемаКлиент.ОткрытьНавигационнуюСсылку(СтрокаКоманды); // есть замечание
+    ФайловаяСистемаКлиент.ОткрытьНавигационнуюСсылку(СтрокаКоманды, ОписаниеОповещения); // есть замечание
+
+    ФайловаяСистемаКлиент.ЗапуститьПрограмму("ping 127.0.0.1 -n 5", ПараметрыКоманды); // есть замечание
+    ФайловаяСистемаКлиент.ЗапуститьПрограмму(СтрокаКоманды, ПараметрыКоманды); // есть замечание
+    ФайловаяСистема.ЗапуститьПрограмму(СтрокаКоманды); // есть замечание
+    ФайловаяСистема.ЗапуститьПрограмму(СтрокаКоманды, ПараметрыКоманды); // есть замечание
+
+    ФайловаяСистемаКлиент.ОткрытьПроводник("C:\Users"); // есть замечание
+    ФайловаяСистемаКлиент.ОткрытьФайл(СтрокаКоманды); // есть замечание
+    ФайловаяСистемаКлиент.ОткрытьФайл(СтрокаКоманды, ОписаниеОповещения); // есть замечание
+
+КонецПроцедуры
+
+&НаКлиенте
+Асинх Процедура Подключить()
+    СтрокаКоманды = "";
+    ТекущийКаталог = "";
+    ДождатьсяЗавершения = Истина;
+
+    Ждать ЗапуститьПриложениеАсинх(СтрокаКоманды, ТекущийКаталог, ДождатьсяЗавершения); // есть замечание
+КонецПроцедуры
+```
+
+## Источники
+<!-- Необходимо указывать ссылки на все источники, из которых почерпнута информация для создания диагностики -->
+<!-- Примеры источников
+
+* Источник: [Стандарт: Тексты модулей](https://its.1c.ru/db/v8std#content:456:hdoc)
+* Полезная информация: [Отказ от использования модальных окон](https://its.1c.ru/db/metod8dev#content:5272:hdoc)
+* Источник: [Cognitive complexity, ver. 1.4](https://www.sonarsource.com/docs/CognitiveComplexity.pdf) -->
+- [стандарт Безопасность запуска приложений](https://its.1c.ru/db/v8std/content/774/hdoc)
+- [стандарт Ограничение на выполнение «внешнего» кода](https://its.1c.ru/db/v8std/content/669/hdoc )

docs/en/diagnostics/ExternalAppStarting.md

@@ -0,0 +1,16 @@
+# External applications starting (ExternalAppStarting)
+
+<!-- Блоки выше заполняются автоматически, не трогать -->
+## Description
+<!-- Описание диагностики заполняется вручную. Необходимо понятным языком описать смысл и схему работу -->
+
+## Examples
+<!-- В данном разделе приводятся примеры, на которые диагностика срабатывает, а также можно привести пример, как можно исправить ситуацию -->
+
+## Sources
+<!-- Необходимо указывать ссылки на все источники, из которых почерпнута информация для создания диагностики -->
+<!-- Примеры источников
+
+* Источник: [Стандарт: Тексты модулей](https://its.1c.ru/db/v8std#content:456:hdoc)
+* Полезная информация: [Отказ от использования модальных окон](https://its.1c.ru/db/metod8dev#content:5272:hdoc)
+* Источник: [Cognitive complexity, ver. 1.4](https://www.sonarsource.com/docs/CognitiveComplexity.pdf) -->

src/main/java/com/github/_1c_syntax/bsl/languageserver/diagnostics/ExternalAppStartingDiagnostic.java

@@ -0,0 +1,55 @@
+/*
+ * This file is a part of BSL Language Server.
+ *
+ * Copyright (c) 2018-2023
+ * Alexey Sosnoviy <labotamy@gmail.com>, Nikita Fedkin <nixel2007@gmail.com> and contributors
+ *
+ * SPDX-License-Identifier: LGPL-3.0-or-later
+ *
+ * BSL Language Server is free software; you can redistribute it and/or
+ * modify it under the terms of the GNU Lesser General Public
+ * License as published by the Free Software Foundation; either
+ * version 3.0 of the License, or (at your option) any later version.
+ *
+ * BSL Language Server is distributed in the hope that it will be useful,
+ * but WITHOUT ANY WARRANTY; without even the implied warranty of
+ * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
+ * Lesser General Public License for more details.
+ *
+ * You should have received a copy of the GNU Lesser General Public
+ * License along with BSL Language Server.
+ */
+package com.github._1c_syntax.bsl.languageserver.diagnostics;
+
+import com.github._1c_syntax.bsl.languageserver.diagnostics.metadata.DiagnosticMetadata;
+import com.github._1c_syntax.bsl.languageserver.diagnostics.metadata.DiagnosticScope;
+import com.github._1c_syntax.bsl.languageserver.diagnostics.metadata.DiagnosticSeverity;
+import com.github._1c_syntax.bsl.languageserver.diagnostics.metadata.DiagnosticTag;
+import com.github._1c_syntax.bsl.languageserver.diagnostics.metadata.DiagnosticType;
+import com.github._1c_syntax.utils.CaseInsensitivePattern;
+
+import java.util.regex.Pattern;
+
+@DiagnosticMetadata(
+  type = DiagnosticType.VULNERABILITY,
+  severity = DiagnosticSeverity.MAJOR,
+  minutesToFix = 5,
+  tags = {
+    DiagnosticTag.SUSPICIOUS
+  },
+  scope = DiagnosticScope.BSL
+
+)
+public class ExternalAppStartingDiagnostic extends AbstractFindMethodDiagnostic  {
+  private static final Pattern messagePattern = CaseInsensitivePattern.compile(
+    "КомандаСистемы|System|ЗапуститьПриложение|RunApp|НачатьЗапускПриложения|BeginRunningApplication" +
+      "|ЗапуститьПриложениеАсинх|RunAppAsync|ПерейтиПоНавигационнойСсылке|GotoURL" +
+      "|ОткрытьНавигационнуюСсылку|ЗапуститьПрограмму|ОткрытьПроводник|ОткрытьФайл"
+  );
+  // TODO Использование COM объектов "Wscript.Shell" и "Shell.Application" + документация в описании правила
+
+  public ExternalAppStartingDiagnostic() {
+    super(messagePattern);
+  }
+
+}

src/main/resources/com/github/_1c_syntax/bsl/languageserver/configuration/parameters-schema.json

@@ -642,6 +642,16 @@
             "title": "Ban export global module variables",
             "$id": "#/definitions/ExportVariables"
         },
+        "ExternalAppStarting": {
+            "description": "External applications starting",
+            "default": true,
+            "type": [
+                "boolean",
+                "object"
+            ],
+            "title": "External applications starting",
+            "$id": "#/definitions/ExternalAppStarting"
+        },
         "ExtraCommas": {
             "description": "Commas without a parameter at the end of a method call",
             "default": true,

src/main/resources/com/github/_1c_syntax/bsl/languageserver/diagnostics/ExternalAppStartingDiagnostic_en.properties

@@ -0,0 +1,2 @@
+diagnosticMessage=Check the launch of an external application
+diagnosticName=External applications starting

src/main/resources/com/github/_1c_syntax/bsl/languageserver/diagnostics/ExternalAppStartingDiagnostic_ru.properties

@@ -0,0 +1,2 @@
+diagnosticMessage=Проверьте запуск внешнего приложения
+diagnosticName=Запуск внешних приложений

src/test/java/com/github/_1c_syntax/bsl/languageserver/diagnostics/ExternalAppStartingDiagnosticTest.java

@@ -0,0 +1,60 @@
+/*
+ * This file is a part of BSL Language Server.
+ *
+ * Copyright (c) 2018-2023
+ * Alexey Sosnoviy <labotamy@gmail.com>, Nikita Fedkin <nixel2007@gmail.com> and contributors
+ *
+ * SPDX-License-Identifier: LGPL-3.0-or-later
+ *
+ * BSL Language Server is free software; you can redistribute it and/or
+ * modify it under the terms of the GNU Lesser General Public
+ * License as published by the Free Software Foundation; either
+ * version 3.0 of the License, or (at your option) any later version.
+ *
+ * BSL Language Server is distributed in the hope that it will be useful,
+ * but WITHOUT ANY WARRANTY; without even the implied warranty of
+ * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
+ * Lesser General Public License for more details.
+ *
+ * You should have received a copy of the GNU Lesser General Public
+ * License along with BSL Language Server.
+ */
+package com.github._1c_syntax.bsl.languageserver.diagnostics;
+
+import org.eclipse.lsp4j.Diagnostic;
+import org.junit.jupiter.api.Test;
+
+import java.util.List;
+
+import static com.github._1c_syntax.bsl.languageserver.util.Assertions.assertThat;
+
+class ExternalAppStartingDiagnosticTest extends AbstractDiagnosticTest<ExternalAppStartingDiagnostic> {
+  ExternalAppStartingDiagnosticTest() {
+    super(ExternalAppStartingDiagnostic.class);
+  }
+
+  @Test
+  void test() {
+
+    List<Diagnostic> diagnostics = getDiagnostics();
+
+    assertThat(diagnostics, true)
+      .hasRange(8, 4, 18)
+      .hasRange(9, 4, 23)
+      .hasRange(10, 4, 23)
+      .hasRange(12, 4, 26)
+      .hasRange(14, 4, 32)
+      .hasRange(15, 26, 52)
+      .hasRange(16, 26, 52)
+      .hasRange(18, 26, 44)
+      .hasRange(19, 26, 44)
+      .hasRange(20, 20, 38)
+      .hasRange(21, 20, 38)
+      .hasRange(23, 26, 42)
+      .hasRange(24, 26, 37)
+      .hasRange(25, 26, 37)
+      .hasRange(35, 10, 34)
+      .hasSize(15)
+    ;
+  }
+}

src/test/resources/diagnostics/ExternalAppStartingDiagnostic.bsl

@@ -0,0 +1,37 @@
+
+Процедура Метод()
+    СтрокаКоманды = "";
+    ТекущийКаталог = "";
+    ДождатьсяЗавершения = Истина;
+    ОписаниеОповещения = Неопределено;
+    ПараметрыКоманды = Новый Структура;
+
+    КомандаСистемы(СтрокаКоманды, ТекущийКаталог); // есть замечание
+    ЗапуститьПриложение(СтрокаКоманды, ТекущийКаталог); // есть замечание
+    ЗапуститьПриложение(СтрокаКоманды, ТекущийКаталог, Истина); // есть замечание
+
+    НачатьЗапускПриложения(ОписаниеОповещения, СтрокаКоманды, ТекущийКаталог, ДождатьсяЗавершения); // есть замечание
+
+    ПерейтиПоНавигационнойСсылке(СтрокаКоманды); // есть замечание
+    ФайловаяСистемаКлиент.ОткрытьНавигационнуюСсылку(СтрокаКоманды); // есть замечание
+    ФайловаяСистемаКлиент.ОткрытьНавигационнуюСсылку(СтрокаКоманды, ОписаниеОповещения); // есть замечание
+
+    ФайловаяСистемаКлиент.ЗапуститьПрограмму("ping 127.0.0.1 -n 5", ПараметрыКоманды); // есть замечание
+    ФайловаяСистемаКлиент.ЗапуститьПрограмму(СтрокаКоманды, ПараметрыКоманды); // есть замечание
+    ФайловаяСистема.ЗапуститьПрограмму(СтрокаКоманды); // есть замечание
+    ФайловаяСистема.ЗапуститьПрограмму(СтрокаКоманды, ПараметрыКоманды); // есть замечание
+
+    ФайловаяСистемаКлиент.ОткрытьПроводник("C:\Users"); // есть замечание
+    ФайловаяСистемаКлиент.ОткрытьФайл(СтрокаКоманды); // есть замечание
+    ФайловаяСистемаКлиент.ОткрытьФайл(СтрокаКоманды, ОписаниеОповещения); // есть замечание
+
+КонецПроцедуры
+
+&НаКлиенте
+Асинх Процедура Подключить()
+    СтрокаКоманды = "";
+    ТекущийКаталог = "";
+    ДождатьсяЗавершения = Истина;
+
+    Ждать ЗапуститьПриложениеАсинх(СтрокаКоманды, ТекущийКаталог, ДождатьсяЗавершения); // есть замечание
+КонецПроцедуры