Skan SAP Code Vulnerability Analyzer
Wykonujemy automatyczny skan custom kodu ABAP z wykorzystaniem SAP Code Vulnerability Analyzer. Konfigurujemy reguły analizy w sposób dopasowany do środowiska klienta.
Skanujemy custom kod ABAP pod kątem podatności takich jak SQL injection, command injection, path traversal, zaszyte dane uwierzytelniające i błędy kontroli dostępu. Wspieramy remediację krytycznych podatności przed audytem bezpieczeństwa lub konwersją do SAP S/4HANA.
Podatności w custom kodzie mogą stać się realną drogą ataku na środowisko SAP. Ich identyfikacja i remediacja ogranicza wektory ataku, których sam hardening platformy nie obejmuje.
Czysty kod, zgodny z podejściem Clean Core, ogranicza ryzyko i koszt konwersji. Problemy w custom kodzie lepiej wykryć przed projektem S/4HANA niż w jego trakcie.
Raport z przeglądu kodu i klasyfikacją podatności może wspierać audyt NIS2, DORA lub ISO 27001 jako dowód kontroli nad bezpieczeństwem custom kodu SAP.
Raport nie jest surową listą znalezisk. Zawiera mapę podatności według priorytetów: krytyczne, ważne i niskie, wraz z rekomendacją naprawy.
Wykonujemy automatyczny skan custom kodu ABAP z wykorzystaniem SAP Code Vulnerability Analyzer. Konfigurujemy reguły analizy w sposób dopasowany do środowiska klienta.
Uzupełniamy skan automatyczny eksperckim przeglądem krytycznych obiektów - szczególnie tam, gdzie konieczna jest ocena logiki autoryzacji, interfejsów, integracji RFC lub niestandardowych mechanizmów biznesowych.
Każde znalezisko opisujemy z oceną wagi, potencjalnego wpływu i priorytetu naprawy. Wyniki przedstawiamy w układzie gotowym do decyzji technicznej i biznesowej.
Przygotowujemy rekomendacje naprawy z szacunkiem nakładu, uporządkowane według ryzyka oraz terminu: audyt, konwersja do S/4HANA, release lub inny kamień milowy projektu.
Opcjonalnie zespół SNOK może naprawić krytyczne podatności lub zapewnić mentoring dla zespołu deweloperskiego klienta.
Po wprowadzeniu poprawek wykonujemy ponowny skan i przegląd, aby potwierdzić, że podatności zostały skutecznie zamknięte.
Przegląd kodu zaczynamy od ustalenia zakresu: pakietów, obiektów, interfejsów i obszarów biznesowych, które mają znaczenie dla bezpieczeństwa SAP lub planowanej konwersji do S/4HANA.
Następnie uruchamiamy skan SAP Code Vulnerability Analyzer i uzupełniamy go manualnym przeglądem eksperckim obszarów wysokiego ryzyka.
Raport zawiera klasyfikację podatności, opis wpływu, proof of concept dla krytycznych znalezisk oraz plan remediacji z priorytetami.
Po wdrożeniu poprawek możemy przeprowadzić retest, aby potwierdzić skuteczność remediacji. Całość prowadzimy w sposób spójny z metodyką pentestów SAP oraz wymaganiami audytu zewnętrznego.
Stack technologiczny
Certyfikacje zespołu w obszarze SAP Security, SAP Development, cyberbezpieczeństwa i systemów enterprise potwierdzają gotowość SNOK do realizacji przeglądów SAP Code Vulnerability i custom code review end-to-end.
Bank w sektorze finansowym
Skan i review custom kodu ABAP przed audytem bezpieczeństwa oraz remediacja podatności krytycznych przed wejściem na produkcję.
Producent przemysłowy
Custom code review przed konwersją do SAP S/4HANA, obejmujący redukcję długu technicznego i podatności w rdzeniu systemu.
Operator infrastruktury krytycznej
Cykliczny przegląd kodu ABAP w ramach programu zgodności NIS2.
Pentest testuje działający system od zewnątrz i wewnątrz. SAP Code Vulnerability Analyzer analizuje źródłowy kod ABAP pod kątem podatności. To podejścia komplementarne - razem dają pełniejszy obraz bezpieczeństwa SAP.
Skupiamy się na custom kodzie: obiektach Z*, rozszerzeniach i modyfikacjach, ponieważ to tam najczęściej powstają podatności wprowadzone przez organizację. Kod standardowy SAP jest objęty SAP Security Notes producenta.
Konwersja wymaga przeglądu i dostosowania custom kodu. Wykrycie podatności oraz niezgodności z podejściem Clean Core przed konwersją ogranicza ryzyko, koszt i czas projektu.
Tak, opcjonalnie. Możemy naprawić podatności krytyczne lub przekazać wiedzę zespołowi deweloperskiemu klienta. Po naprawie wykonujemy retest potwierdzający zamknięcie luk.