SAP secure coding qual è lo stato dell'arte?

Posted by Massimo Manara on Jan 8, 2025 8:15:00 AM

Abbiamo provato a farci questa domanda. In relazione alla nostra esperienza sul tema e con i vari clienti.

 

fondamenta

 

Non è semplice fornire una risposta esaustiva su tutto, ma abbiamo provato a dare qualche spunto! Leggi l'articolo per approfondire.

Sviluppo sicuro del codice

Abbiamo da tempo introdotto questo servizio per quanto riguarda lo sviluppo del codice SAP. In particolare svolgendo due possibili (alternative) azioni:

 

  • Verifica spot del codice
  • Verifica continuativa

 

Chiaramente al seconda delle opzioni è quella suggerita, infatti è certamente ultile avere una fotografia del corrente stato tuttavia l'ideale sarebbe attivare un programma di controllo continuo. Esistono modi ed azioni per farlo, anche in maniera graduale.

 

 

Anche se svolgere una attività di fotografia spot è sicuramente utile per inizare un possibile percorso o perlomeno avere una prima idea di come si è posizionati sull'argomento.

 

Perché fare questo controllo?

Potresti essere portato a pensare che la verifica del codice ABAP serva solo per andare ad individuare la mancanza degli oggetti autorizzativi nei programmi SAP. 

 

In realtà questo è solo uno degli aspetti che possono essere verificati ma esistono molti altri controlli, ad esempio:

 

  • Esistono delle backdoor nei progammi (nella mia esperienza mi è capito di vedere riportate nel codice mail personali di persone uscite dall'azienda. Che si auto-inviavano dei dati pur non facendo più parte dell'azienda)
  • Directory Traversal
  • SQL Injection
  • Utilizzo di funzioni critiche nei programmi
  • Scritture dirette in tabella (senza uso delle eventuali BAPI standard SAP). Es. effettuo modifiche di dati direttamente nella tabella dei documenti contabili, senza uso delle funzioni standard SAP.

 

 

Chi controlla gli sviluppi custom in SAP? 

 

 

Qui trovi un grafico che mostra la principali vulnerabilità del codice, in percentuale, rilevate nel codice custom

 

securecode

 

Ma anche quando ti installi delle soluzioni di mercato. Come puoi controllare che gli sviluppi fatti siano sicuri?

 

 

Ti ricordo che la certificazioine SAP (ovvero quando un prodotto è certificato SAP) non va a verificare che un prodotto sia stato sviluppato in maniera sicura. Ma "solo", per semplificare, che il colloquio con SAP venga svolto in modalità corretta.

 

Contattaci per approfondire cosa abbiamo fatto assieme a diverse reatà sul tema!

 

Topics: secure coding sap, audit

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 Privacy Policy - Cookie Policy