risiken im abap-code zuverlässig und schnell … transport management system sap solution manager...

© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.

Click to edit Master text styles

Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


Dr. Markus Schumacher


Risiken im ABAP-Code zuverlässig und

schnell aufdecken & dokumentieren

Peter Werner



Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


AGENDA


Live-Demonstration

ABAP-Code-Scan mit Virtual Forge CodeProfiler

Virtual Forge CodeProfiler 3.2 - das neue Release

Neue Features & Functions (u.a. neue Testgruppen & Testfälle, erweiterte

Konfigurationsmöglichkeiten)

Highlight: Data Loss Prevention (DLP)

Einblicke in die Entwicklungsplanung / Roadmap 2012+



Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten

© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.

Live-Demonstration

../../../Desktop/Infotag.sap



Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


AGENDA


Live-Demonstration









Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


Statische Analyse von ABAPTM-Code auf Basis von Daten- und

Kontrollflüssen

Testbereiche: Sicherheit, Compliance, Performance, Wartbarkeit, Robustheit,

Data Loss Prevention

Zuverlässige und schnelle Prüfung auch von umfangreichen Anwendungen

Prüfung von bis zu 6.000 Zeilen ABAP-Code pro Sekunde

Prüfung von mehreren hundert Millionen Zeilen Code in einem Durchgang möglich

Auslieferung von 119 Testfällen mit Release 3.2 sowie kontinuierliche

Entwicklung neuer Testfälle

Hohe Qualität der Ergebnisse durch Daten- und Kontrollflussanalyse sowie

ergänzende Plausibilitätsprüfungen

Trefferquote von > 95 % in Projekten

Priorisierung der Ergebnisse durch automatische Bewertung von Risiken

Virtual Forge CodeProfiler 3.2

Ein Überblick



Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


Bewährte Lösung für das automatisierte Testen von ABAPTM-Code

Ausführliche Dokumentation gefundener Schwachstellen – vom Executive

Summary bis hin zur Beschreibung technischer Details

Vollständige Integrierbarkeit in die SAP®-Entwicklungsumgebung (SE80) sowie

das SAP-Änderungs- und Transportwesen

SAP Transport Management System

SAP Solution Manager Change Request Management

Integration in Partnerlösungen (z.B. REALTECH theGuard!, IBM Rational

AppScan Source Edition) möglich


Ein Überblick



Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


AGENDA


Live-Demonstration









Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


Neue Testgruppen für Basel II und EuroSOX

Erweiterung der Möglichkeiten zum Einsatz von Virtual Forge CodeProfiler bei

internen IT-Audits oder im Rahmen von Wirtschaftsprüfungen

Neue Testfälle

Sicherheit (11)

Compliance (1)

Wartbarkeit (3)

Performance (1)

Robustheit (1)

Data Loss Prevention (2*)

Neue Funktionen & Features

Neue Testfälle



Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten



Test Case Customizing

Test Case Konfigurierungsmöglichkeiten

Mitigation Funktionen

Kritische Transaktionen

Kritische Tabellen

Data Loss Prevention (DLP)



Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten



Für Datenflusstestfälle können Funktionen und Methoden definiert

werden, die Schwachstellen aufheben (Customized Mitigation),

d.h. dass diese Schwachstellen als Information-Finding oder nicht

mehr ausgegeben werden

Default Customizing für SAP Standard Funktionen. Beispiel:

CL_ABAP_DYN_PRG=>QUOTE (7.02)

FILE_VALIDATE_NAME (7.02)

Kundenspezifisches Einstellungen

Berücksichtigung beliebiger Kunden-Funktionen oder -Methoden





Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


Kritische Transaktionen und Tabellen

Die Definition kritischer Transaktionen und Tabellen beeinflusst

den Impact von Findings in relevanten Testfällen, wie z.B.

„Missing Authority-Check before CALL TRANSACTION“ oder SQL

Injection

Default Customizing für SAP Standard Tabellen und

Transaktionen

Festlegung des Zugriffes: Lesen / Schreiben

Festlegung des Business Impacts: Sehr hoch oder niedrig

Ziel: Reduktion von False Positives


Kritische Transaktionen und Tabellen



Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten







Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten



Im Bereich Data Loss Prevention kann über statische Analyse von

ABAPTM-Code auf Basis von Daten- und Kontrollflüssen geprüft

werden, ob kritische Daten den Kontrollbereich des SAP®-

Systems verlassen

Definition kritischer Daten

Default Customizing für verschiedene kritische Tabellen bzw. Spalten

PA0002 Critical HR Table (Infotype 0002 - Personal Data)

Kundenspezifische kritische Tabellen bzw. Spalten





Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


Beispiel:




Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


DDIC-Integration (Data Dictionary)

Berücksichtigung der Informationen zu Variablentypen für die

Bewertung der Angriffsmöglichkeit

Optimierung der statischen Code-Analyse bei Security-Testfällen

Berücksichtigung der Typisierung und Variablen-Längen

Ziel: Reduktion von False Positives





Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


AGENDA


Live-Demonstration









Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


Virtual Forge CodeProfiler

2.1

Q4/2010

Virtual Forge CodeProfiler Roadmap

Full SAP Integration

• Introduction of Finding

Manager

• Change and Transport

Management (KTM / TMS /

CTS / CTS+ / ChaRM)

Escalation Management

Extended Coverage of Data

Sources

Engine Improvements

New Test Cases

Improved Performance

Reduction of False Positive Rate

New Test Domains:

• Maintainability

• Robustness

• Performance

Extractor Optimization

Engine Improvements

New Test Cases

3.0

Q2/2011

3.1

Q4/2011

Naming Conventions

New, improved Risk Rating

Support for High-Availability

Scanning Scenarios

Certification: Ready for IBM

Rational

Support for User-Exits, BAdIs

and Enhancement Points, Modul

Pools and MVC Style BSPs,

ABAPTM Macros

Engine Improvements

New Test Cases

• Test Case Group SOX

This presentation and Virtual Forge‘s strategy and possible future developments are subject to change and may be changed

by Virtual Forge at any time for any reason without notice. This document is provided without a warranty of any kind.



Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


Virtual Forge CodeProfiler

3.2

Q2 / 2012

Virtual Forge CodeProfiler Roadmap

Enhanced Finding-Management

Support for New ABAP

Language Patterns

DDIC Performance

Enterprise Architecture I

New Test Case Group:

PCI Compliance

Engine Improvements

New Test Cases - Focus Areas:

• Performance

• Maintainability

Customer-Configurable

Mitigation Functions for Dataflow

Test Cases

Customer-Configurable critical

tables for Data Loss Prevention

DDIC-Integration (Reduction of

False Positive Rate)

New Test Case Groups:

• Basel II Compliance

• EuroSOX Compliance

Engine Improvements

New Test Cases

3.3

Q4/2012

3.4

Q2/2013

Performance Workbench

Reference Scan

Customer Specific Test Cases

Enterprise Architecture II

Engine Improvements

New Test Cases

This presentation and Virtual Forge‘s strategy and possible future developments are subject to change and may be changed

by Virtual Forge at any time for any reason without notice. This document is provided without a warranty of any kind.



Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


The information in this presentation is confidential and proprietary to Virtual Forge

and may not be disclosed without the permission of Virtual Forge. This

presentation and Virtual Forge‘s strategy and possible future developments are

subject to change and may be changed by Virtual Forge at any time for any reason

without notice. The information in this document is not a commitment, promise or

legal obligation to deliver any material, code or functionality. It is provided without a

warranty of any kind. This document is for informational purposes and may not be

incorporated into a contract. Virtual Forge assumes no responsibility for errors or

omissions in this document.

Legal Disclaimer



Second level

Third level

Fourth level

Fifth level

TITEL bearbeiten


Disclaimer

© 2012 Virtual Forge GmbH. All rights reserved.

SAP, ABAP und weitere im Text erwähnte SAP-Produkte und –Dienstleistungen sowie die entsprechenden

Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und anderen Ländern weltweit. Alle

anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen. Die Angaben im Text

sind unverbindlich und dienen lediglich zu Informationszwecken

In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. Die

vorliegenden Angaben werden von Virtual Forge bereitgestellt und dienen ausschließlich Informationszwecken.

Virtual Forge über nimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständigkeiten in dieser

Publikation. Aus den in dieser Publikation enthaltenen Informationen ergibt sich keine weiterführende Haftung.

Es gelten die Allgemeinen Geschäftsbedingungen von Virtual Forge – einsehbar auf www.virtualforge.com.

risiken im abap-code zuverlässig und schnell … transport management system sap solution manager...

Documents