Собственно тема. Может изобретаю велосипед. Подскажите есть ли способы в 1с8 защитить данные от программиста 1с. Например чтоб сотрудник отдела разработки не мог прочитать запросом данные о ЗП своих коллег или вышестоящих руководителей. При условии что у него есть возможность снять RLS с любой роли.
По теме из базы знаний
Найденные решения
Остальные ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(1)
конечно есть - поднимите ему ЗП в 1,5-2 раза и не искушайте ограничениями человека, не имеющего ограничений ))
Подскажите есть ли способы в 1с8 защитить данные от программиста 1с
конечно есть - поднимите ему ЗП в 1,5-2 раза и не искушайте ограничениями человека, не имеющего ограничений ))
(1)На ИТС есть обработка - прогоняете через нее копию базы, отдаете на разработку, затем разработанное забираете и сами накатываете.
(6)
Но вот это самое правильное... ;) сам веду такую базу, и не интересно сколько остальные получают, и ни кому не интересно что в этой базе...
(6)
Если вы адекватный человек - не делайте ничего, и вы удивитесь насколько всем насрать сколько получают коллеги.
Но вот это самое правильное... ;) сам веду такую базу, и не интересно сколько остальные получают, и ни кому не интересно что в этой базе...
(1) Эта задача, если копнуть, содержит противоречивые требования. Поэтому не имеет однозначных решений.
Есть только поле сложных компромиссов, которые как правило сводятся к тезису "лекарство хуже болезни".
Ну, допустим, реализовали вы хитрую схему, позволяющую отделить доступы к данным по ЗП от разработки функциональности расчета этой самой ЗП.
Завтра возникает ситуация - "ой, а почему вот в этом вот случае на этом сотруднике программа неправильно считает ЗП или вообще погоду показывает?".
Как сможет разобраться с этой ситуацией человек, не имеющий доступа к данным?
Есть только поле сложных компромиссов, которые как правило сводятся к тезису "лекарство хуже болезни".
Ну, допустим, реализовали вы хитрую схему, позволяющую отделить доступы к данным по ЗП от разработки функциональности расчета этой самой ЗП.
Завтра возникает ситуация - "ой, а почему вот в этом вот случае на этом сотруднике программа неправильно считает ЗП или вообще погоду показывает?".
Как сможет разобраться с этой ситуацией человек, не имеющий доступа к данным?
Научить сотрудника с доступом к данным по ЗП создавать копию без секретных данных, а так же накатывать обновления. Забрать у программиста права на боевую базу. Не забыть так же о закрытии подключения к рабочей базе по com, ws, прямого чтения файлов или таблиц скл и проч.
Ну, еще можно найти слепо-глухо-немого разработчика.
Ну, еще можно найти слепо-глухо-немого разработчика.
Ну пусть разработывает в пустой базе или в базе с неактуальными данными. Но сама постановка вопроса идиотская. Все равно в компании будет человек с полным доступом ко всему. Или недоверие только сотруднику отдела разработки?
Сама постановка вопроса "Ограничить права человеку, который эти самые права и назначает" звучит нелепо.
Сама идея делать из зарплаты сотрудников великую тайну звучит нелепо.
Если вы не доверяете конкретному человеку - замените человека.
Если вы не доверяете всему отделу - наймите франча.
Если вы адекватный человек - не делайте ничего, и вы удивитесь насколько всем насрать сколько получают коллеги.
Сама идея делать из зарплаты сотрудников великую тайну звучит нелепо.
Если вы не доверяете конкретному человеку - замените человека.
Если вы не доверяете всему отделу - наймите франча.
Если вы адекватный человек - не делайте ничего, и вы удивитесь насколько всем насрать сколько получают коллеги.
Защитой данных от программиста 1с, с целью неразглошения - может служить подписания доп соглашения о неразглашении конфиденциальной информации; с целью, чтобы он не узнал на сколько меньше он зарабатывает - найм нового сотрудника, либо дать ему понять что он не "раб" и если ему что то не нравится, пусть ищет новых работодателей.
А так согласна
(6)
А так согласна
(6)
Сама постановка вопроса "Ограничить права человеку, который эти самые права и назначает" звучит нелепо.
Если это "типовой" сотрудник отдела разработки, который занимается только доработкой конфиги - сделать тестовую базу с тестовым набором данных вашей контора, все разработки ведутся в ней, после тестов руководитель отдела накатывает обновление. тоже ест нюансы (а кто будет контролировать руководителя и т.д., отладка в реальной базе).
Если сотрудник отвечает за разбор ситуации на реальных наборах данных (себестоимость например считается не всегда верно ) - как бы возникает противоречие.
Если сотрудник отвечает за разбор ситуации на реальных наборах данных (себестоимость например считается не всегда верно ) - как бы возникает противоречие.
Вот простой пример поставленного ограничения на все роли на конкретный справочник на поля на конкретного пользователя: &ТекущийПользователь - данные сеанса о текущем пользователе
где НЕ &ТекущийПользователь в (ВЫБРАТЬ
Пользователи.Ссылка КАК Ссылка
ИЗ
Справочник.Пользователи КАК Пользователи
ГДЕ
Пользователи.Наименование ПОДОБНО "%ФИО%")
Не получается пользователю ФИО посмотреть содержание справочника, даже если имеет полные права, если только не зайти под другим пользователем. Но тогда ему надо изменять пароль другого пользователя, что можно логировать.
где НЕ &ТекущийПользователь в (ВЫБРАТЬ
Пользователи.Ссылка КАК Ссылка
ИЗ
Справочник.Пользователи КАК Пользователи
ГДЕ
Пользователи.Наименование ПОДОБНО "%ФИО%")
Не получается пользователю ФИО посмотреть содержание справочника, даже если имеет полные права, если только не зайти под другим пользователем. Но тогда ему надо изменять пароль другого пользователя, что можно логировать.
(20)
Но запросом из консольки то сработает :)
А по сути вопроса: если не доверяете прогу, то и не давайте ему работать на тех участках. И, вообще, вы зачем на "боевую" базу разработчиков натравливаете, архивов много? Дайте ему обезличенную (хотя бы в плане цифр) базу и пусть кодит....
Пользователи.Наименование ПОДОБНО "%ФИО%")
тут главное, чтобы полные тёзки не работали.
Но запросом из консольки то сработает :)
А по сути вопроса: если не доверяете прогу, то и не давайте ему работать на тех участках. И, вообще, вы зачем на "боевую" базу разработчиков натравливаете, архивов много? Дайте ему обезличенную (хотя бы в плане цифр) базу и пусть кодит....
Прослеживается боязнь,что работающий программист получает в несколько раз меньше,чем секретарь или стажер (люди приближенные к начальству). Узнает и начнет требовать повышения ЗП , а денег жалко
Спасибо всем за вменяемые и "не очень" ответы, по каждому свою реплику писать не вижу смысла.
Хранилище и отдельные базы имеются, но часто приходится оперативно решать проблемы каждому по своей ветке разработок и дать только одному доступ в продакшн базу не получается. соответвенно мотив в виде ЗП одному не сильно катит. Аутсорс с обезличеной базой как по мне самое оно, но по времени долго .
Имхо нужен кодящий зам отдела... либо разрываться самому.
Еще раз спасибо всем напрягшим мозг и пальцы !!!
Хранилище и отдельные базы имеются, но часто приходится оперативно решать проблемы каждому по своей ветке разработок и дать только одному доступ в продакшн базу не получается. соответвенно мотив в виде ЗП одному не сильно катит. Аутсорс с обезличеной базой как по мне самое оно, но по времени долго .
Имхо нужен кодящий зам отдела... либо разрываться самому.
Еще раз спасибо всем напрягшим мозг и пальцы !!!
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот