sap netweaver application server, add-on for code vulnerability analysis
TRANSCRIPT
SAP NetWeaver Application ServerDatabase & Technology
SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis
© 2
015
SAP
SE o
der e
in S
AP-K
onze
rnun
tern
ehm
en. A
lle R
echt
e vo
rbeh
alte
n
© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.2 / 9
Inhalt
3 SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis
4 Management Summary
5 Lösungsbeschreibung
6 Aktivierung und Nutzung im ABAP Test Cockpit
8 Lizenzmodell und Funktionalitäten
3 / 8 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
AUF EINEN BLICK
Branche(n): Cross
Lösungseigenschaften: Sicherheitslücken im Coding selbstentwickelter ABAP-Anwendungen erkennen und lösen
Hauptnutzen: • IT-Sicherheitsrisiken reduzieren und damit sensible Geschäftsdaten schützen
• Test-Aufwand verringern • Schwachstellen im ABAP-Quellcode automatisiert entdecken
• Compliance bei Sicherheits-Audits sicherstellen
Das neue Werkzeug zur Schwachstellensuche im Quellcode von ABAP-basierten Anwendungen ermöglicht es Unternehmen, den Quellcode ihrer eigenentwickelten ABAP-Lösungen automatisiert auf Sicherheitslücken zu testen.
SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis
4 / 8 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
Verschlüsselung, Firewalls und Intrusion-Prevention-Systeme reichen nicht aus, um IT-Systeme vollständig gegen äußere Angriffe abzusichern. Der Quellcode eigener Anwendungen kann Sicherheitslücken bein-halten, die sich nicht durch nachgelagerte Maßnahmen schließen lassen. Mit SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis können Entwick-ler ihren Code automatisiert auf Schwachstellen prüfen lassen und diese anschließend mithilfe detaillierter
Lösungsempfehlungen beseitigen. Unternehmen erfüllen so gesetzliche Vorgaben an die IT-Sicherheit. Im Gegen-satz zu vergleichbaren Tools ist das Add-on in die ABAP-Entwicklungsumgebung voll integriert: Testauf-wände und -kosten sinken, Checks lassen sich kurzfristig auch während der Programmierung durchführen.
Management Summary
5 / 8 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
Mit dem Add-on erhalten Unternehmen das gleiche Tool, das SAP für die Quelltextprüfung der eigenen Lösungen bei der Entwicklung von Kundenanwendungen einsetzt. Es lassen sich sowohl selbstentwickelte On-Premise- als auch On-Demand-Anwendungen testen, die in ABAP programmiert sind.
Das Tool erkennt unter anderem wesentliche Sicher-heitsschwachstellen, die vom Open Web Application Security Project (OWASP) identifiziert werden:
1. Injection (SQL, OS, LDAP)2. Unsichere direkte Objektreferenzen3. Fehlender Zugriffsschutz auf Funktionsebene4. Verwendung von Komponenten mit bekannten Schwachstellen
In Ergänzung zu den in SAP NetWeaver AS ABAP integri-erten Standardchecks wertet das Add-on komplette Datenflüsse aus und erkennt dadurch, ob eine potentielle Schwachstelle tatsächlich ausgenutzt werden kann. Dazu analysiert das Add-on insbesondere potenziell unsichere Stellen im Quelltext, in denen auf Eingaben aus anderen Code Units zugegriffen wird. Zudem erkennt das Werkzeug sichernde Maßnahmen, wie die Verwend-ung von Schutzmechanismen zur Prüfung von Eingabe-werten. Zusätzlich werden Datentypen berücksichtigt: So sind Integer-Variable nicht anfällig für SQL-Injections und werden beim entsprechenden Check übersprungen. Durch beide Maßnahmen sinkt die Zahl an „False Posi-tives“, die gefundenen Probleme lassen sich schneller auswerten.
Lösungsbeschreibung
6 / 8 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
Das Add-on ist bereits in SAP NetWeaver AS ABAP enthalten, eine Installation ist nicht notwendig. Damit entfällt auch der Bedarf an zusätzlichen Servern, wie das bei vergleichbaren Lösungen der Fall ist. Das Add-on wird über das Programm RSLIN_SEC_LICENSE_SETUP aktiviert. Anschließend stehen die erweiterten Sicher-heitschecks in der gewohnten Entwicklungsumgebung innerhalb des ABAP Test Cockpits zur Verfügung. Schul-ungen sind nicht erforderlich. Durch die direkte Integra-tion lassen sich die Prüfungen bereits in einem frühen Stadium der Programmierung durchführen; nachfolgende und daher aufwendige Bereinigungen werden minimiert.
Aktivierung und Nutzung im ABAP Test Cockpit
Tiefe Integration in das ABAP Test Cockpit
7 / 8 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
Nach der automatisierten Prüfung listet die Software alle potenziellen Sicherheitslücken sortiert nach Priorität auf. Zu jedem Eintrag lassen sich Hintergrundinformationen aufrufen. Mit dieser Hilfe können Programmierer leichter erkennen, ob es sich um ein „False Positive“ oder ein tatsächliches Sicher-heitsproblem handelt. Das Tool gibt Empfehlungen, wie der Quelltext geändert werden kann, um die Schwachstellen zu beseitigen. Neben den individuellen Checks für einzelne Entwickler bietet das Werkzeug auch Massenchecks an, etwa um eine gesamte Anwendung auf Schwachstellen zu prüfen.
Hintergründe und Lösungshinweise zu den gefundenen Schwachstellen
8 / 8
Lizenzmodell und Funktionalitäten
Lizenzmodell: • Named-User-Lizenzen für die Analyse von kundeneigenen Anwendungen
• Developer-User-Lizenzen für die Analyse von Anwendungen, die von Partnern und Kunden entwickelt und weiterverkauft werden
Funktionalitäten: • Automatisierte Quellcode-Analyse als Teil der Statischen Anwendungssicherheitstests (SAST)
• Identifikation wichtiger Sicherheitslücken nach OWASP • Kontextsensitive Hinweise zur Behebung • Integration in das ABAP Test Cockpit • Individual- und Massenprüfungen
Verwandte Produkte: SAP NetWeaver Application Server, SAP NetWeaver Identity Management, SAP Access Control, SAP NetWeaver Single Sign-On, SAP Enterprise Threat Detection, SAP Cloud Identity
Weitere Informationen:ABAP-Testing und -TroubleshootingDetails zum Code InspectorDetails zum ABAP Test CockpitSecure Programming Guide for ABAP
Ihr Ansprechpartner:Martin MüllerSolution Senior Expert Security [email protected]
Studio SAP | 39447deDE (15/07) © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
© 2015 SAP SE or an SAP affi liate company. All rights reserved.
No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP SE or an SAP affi liate company.
SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE (or an SAP affi liate company) in Germany and other countries. Please see http://www.sap.com/corporate-en/legal/copyright/index.epx#trademark for additional trademark information and notices. Some software products marketed by SAP SE and its distributors contain proprietary software components of other software vendors.
National product specifi cations may vary.
These materials are provided by SAP SE or an SAP affi liate company for informational purposes only, without representation or warranty of any kind, and SAP SE or its affi liated companies shall not be liable for errors or omissions with respect to the materials. The only warranties for SAP SE or SAP affi liate company products and services are those that are set forth in the express warranty statements accompanying such products and services, if any. Nothing herein should be construed as constituting an additional warranty.
In particular, SAP SE or its affi liated companies have no obligation to pursue any course of business outlined in this document or any related presentation, or to develop or release any functionality mentioned therein. This document, or any related presentation, and SAP SE’s or its affi liated companies’ strategy and possible future developments, products, and/or platform directions and functionality are all subject to change and may be changed by SAP SE or its affi liated companies at any time for any reason without notice. The information in this document is not a commitment, promise, or legal obligation to deliver any material, code, or functionality. All forward-looking statements are subject to various risks and uncertainties that could cause actual results to diff er materially from expectations. Readers are cautioned not to place undue reliance on these forward-looking statements, which speak only as of their dates, and they should not be relied upon in making purchasing decisions.