Quante soluzioni esistono sul mercato per risolvere o gestire meglio una determinata problematica?
Sicuramente molti, anche in ambito SAP, ma quali sono i rischi di installare un add on o un pre-configurato?
Prodotti SAP o Soluzioni di terze parti?
Alcuni processi aziendali possono richiedere delle ulteriori verticalizzazioni per poter essere gestiti al meglio. Di conseguenza esistono prodotti SAP in aggiunta al sistema gestionale SAP ERP per gestire, spesso in maniera più completa, un determinato processo.
Quali casi ad esempio?
Ad esempio nella gestione dei clienti e fornitori. I moduli standard SAP presenti nella soluzione ERP non coprono tutti gli eventuali requisiti organizzativi.
Per questo motivo sono stati sviluppati ulteriori software come:
- SAP CRM Customer Relationship Management
- SAP SRM Supplier Relationship Management
ma ne esistono ovviamente molti altri casi. Per quanto riguarda i prodotti SAP.
Parallelamente anche software house diverse da SAP hanno iniziato a sviluppare prodotti per colmare, migliorare o efficientare dei processi aziendali.
In questo caso la SAP mette a disposizione le proprie certificazioni in termini di sviluppo sicuro del codice (Secure Coding SAP), come ad esempio quelle riportate nella Nota OSS 1697494 - Customer Code Scans indicando quali sono tutte le fasi della ideazione al rilascio del software, riportando i vari controlli anche a livello di sviluppo sicuro del codice SAP.
Nel caso di queste ultime, a cosa conviene fare attenzione? Come scegliere un software terzo SAP dal punto di vista della security?
Software selection SAP Security
L'installazione di software all'interno dei sistemi SAP avviene solitamente tramite l'importazione di pacchetti.
Questi pacchetti contengono al loro interno tutta una serie di nuovi programmi, tabelle ed ulteriori oggetti tecnici per far funzionare ed integrarsi nei processi già definiti. Lo spazio nomi (namespace) comprende gli oggetti che iniziano con Z* oppure Y* oppure /*
Ma a cosa conviene fare attenzione, dal punto di vista della sicurezza, quando si valuta l'acquisto e poi l'installazione di questi prodotto in SAP?
- Si tratta di prodotti certificati da SAP?
- Attenzione, in alcuni casi i vendor sono certificati su alcuni prodotti ma non su tutti quelli presenti a catalogo, attenzione inoltre alle versioni
- Ci sono dei certificati rilasciati dalla software house sull'utilizzo di pratiche di sviluppo sicuro del codice?
- Questo aspetto è particolarmente importante in quanto molte situazioni di non conformità comuni possono essere evitate fin da subito ad esempio
- Problematiche di robustezza del del codice
- Dati Hardcoded
- Problematiche di SQL Injections o Path traversal
- Sono previsti degli aggiornamenti di sicurezza specifici, oltre a quelli di aggiornamento del prodotto (SAP security patch)?
Come verificare se un prodotto è certificato SAP?
Tramite il sito delle certificazioni chiamato SAP Integration and Certification Center (SAP ICC).
All'interno di questo sito è possibile trovare tutti i produttori di software certificati, su quali dei loro software e su quali versioni dei loro prodotti.
Esistono diverse categorie di certificati e qui è possibile trovare la descrizione di ognuna.
Da marzo 2020 inoltre gli sviluppi effettuati in ambito ABAP saranno soggetti all'analisi tramite SAP Code Vulnerability Analysis i partner certificati quindi saranno chiamati a risolvere le evidenze di priorità 1 e 2 generate dall'analisi con SAP CVA.
Va infatti ricordato che in passato non vi erano controlli sulla sicurezza del codice da parte di SAP nel processo di certificazione di soluzioni terze, ora ci saranno!
E se un software non è certificato come fare?
Non è semplice controllare senza strumenti adeguati. Diventa quasi impossibile controllare, dal punto di vista security, gli sviluppi fatti in azienda, figuriamoci quelli importati dall'esterno.
Per questo motivo è importante avere uno strumento che possa farlo, come il Code Vulnerability Analysis nel caso della soluzioni SAP (soggetto a licenza) oppure software terzi sul mercato, a questo proposito guarda qui la nostra intervista a due società del settore, Onapsis (Virtual Forge) e Kiuwan.