Przejdź do treści

SAP Code Vulnerability Analyzer i custom code review

Skanujemy custom kod ABAP pod kątem podatności takich jak SQL injection, command injection, path traversal, zaszyte dane uwierzytelniające i błędy kontroli dostępu. Wspieramy remediację krytycznych podatności przed audytem bezpieczeństwa lub konwersją do SAP S/4HANA.

Co zyskuje Państwa organizacja?

Mniejsza powierzchnia ataku

Podatności w custom kodzie mogą stać się realną drogą ataku na środowisko SAP. Ich identyfikacja i remediacja ogranicza wektory ataku, których sam hardening platformy nie obejmuje.

Łatwiejsza konwersja S/4HANA

Czysty kod, zgodny z podejściem Clean Core, ogranicza ryzyko i koszt konwersji. Problemy w custom kodzie lepiej wykryć przed projektem S/4HANA niż w jego trakcie.

Dowód należytej staranności

Raport z przeglądu kodu i klasyfikacją podatności może wspierać audyt NIS2, DORA lub ISO 27001 jako dowód kontroli nad bezpieczeństwem custom kodu SAP.

Konkretny plan remediacji

Raport nie jest surową listą znalezisk. Zawiera mapę podatności według priorytetów: krytyczne, ważne i niskie, wraz z rekomendacją naprawy.

Zakres przeglądu kodu ABAP

Skan SAP Code Vulnerability Analyzer

Wykonujemy automatyczny skan custom kodu ABAP z wykorzystaniem SAP Code Vulnerability Analyzer. Konfigurujemy reguły analizy w sposób dopasowany do środowiska klienta.

Manualny custom code review

Uzupełniamy skan automatyczny eksperckim przeglądem krytycznych obiektów - szczególnie tam, gdzie konieczna jest ocena logiki autoryzacji, interfejsów, integracji RFC lub niestandardowych mechanizmów biznesowych.

Klasyfikacja podatności

Każde znalezisko opisujemy z oceną wagi, potencjalnego wpływu i priorytetu naprawy. Wyniki przedstawiamy w układzie gotowym do decyzji technicznej i biznesowej.

Plan remediacji z priorytetami

Przygotowujemy rekomendacje naprawy z szacunkiem nakładu, uporządkowane według ryzyka oraz terminu: audyt, konwersja do S/4HANA, release lub inny kamień milowy projektu.

Wsparcie w naprawie

Opcjonalnie zespół SNOK może naprawić krytyczne podatności lub zapewnić mentoring dla zespołu deweloperskiego klienta.

Retest po remediacji

Po wprowadzeniu poprawek wykonujemy ponowny skan i przegląd, aby potwierdzić, że podatności zostały skutecznie zamknięte.

Jak prowadzimy projekt?

Przegląd kodu zaczynamy od ustalenia zakresu: pakietów, obiektów, interfejsów i obszarów biznesowych, które mają znaczenie dla bezpieczeństwa SAP lub planowanej konwersji do S/4HANA.

Następnie uruchamiamy skan SAP Code Vulnerability Analyzer i uzupełniamy go manualnym przeglądem eksperckim obszarów wysokiego ryzyka.

Raport zawiera klasyfikację podatności, opis wpływu, proof of concept dla krytycznych znalezisk oraz plan remediacji z priorytetami.

Po wdrożeniu poprawek możemy przeprowadzić retest, aby potwierdzić skuteczność remediacji. Całość prowadzimy w sposób spójny z metodyką pentestów SAP oraz wymaganiami audytu zewnętrznego.

Stack technologiczny

SAP Code Vulnerability Analyzer (CVA)SAP ATC (ABAP Test Cockpit)SAP NetWeaverSAP S/4HANAABAPABAP CloudOWASPSAP Security Baseline

Certyfikacje zespołu w obszarze SAP Security, SAP Development, cyberbezpieczeństwa i systemów enterprise potwierdzają gotowość SNOK do realizacji przeglądów SAP Code Vulnerability i custom code review end-to-end.

Gdzie wdrażaliśmy podobne rozwiązania

Bank w sektorze finansowym

Skan i review custom kodu ABAP przed audytem bezpieczeństwa oraz remediacja podatności krytycznych przed wejściem na produkcję.

Producent przemysłowy

Custom code review przed konwersją do SAP S/4HANA, obejmujący redukcję długu technicznego i podatności w rdzeniu systemu.

Operator infrastruktury krytycznej

Cykliczny przegląd kodu ABAP w ramach programu zgodności NIS2.

FAQ - Code Vulnerability SAP

Czym CVA różni się od pentestu SAP? +

Pentest testuje działający system od zewnątrz i wewnątrz. SAP Code Vulnerability Analyzer analizuje źródłowy kod ABAP pod kątem podatności. To podejścia komplementarne - razem dają pełniejszy obraz bezpieczeństwa SAP.

Czy review obejmuje też kod standardowy SAP? +

Skupiamy się na custom kodzie: obiektach Z*, rozszerzeniach i modyfikacjach, ponieważ to tam najczęściej powstają podatności wprowadzone przez organizację. Kod standardowy SAP jest objęty SAP Security Notes producenta.

Jak review wspiera konwersję S/4HANA? +

Konwersja wymaga przeglądu i dostosowania custom kodu. Wykrycie podatności oraz niezgodności z podejściem Clean Core przed konwersją ogranicza ryzyko, koszt i czas projektu.

Czy SNOK naprawia znalezione podatności? +

Tak, opcjonalnie. Możemy naprawić podatności krytyczne lub przekazać wiedzę zespołowi deweloperskiemu klienta. Po naprawie wykonujemy retest potwierdzający zamknięcie luk.

Skontaktuj się z nami