SAP NetWeaver Application Server
Database & Technology
SAP NetWeaver Application Server,
Add-on for Code Vulnerability Ana...
© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
2 / 9
Inhalt
3	SAP NetWeaver Application Server,
A...
3 / 8
© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
AUF EINEN BLICK
Branche(n): Cross
Lösungseig...
4 / 8
© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
Verschlüsselung, Firewalls und Intrusion-Pre...
5 / 8
© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
Mit dem Add-on erhalten Unternehmen das glei...
6 / 8
© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
Das Add-on ist bereits in SAP NetWeaver AS A...
7 / 8
© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
Nach der automatisierten Prüfung listet die ...
8 / 8
Lizenzmodell und Funktionalitäten
Lizenzmodell:
•• Named-User-Lizenzen für die Analyse von 		
kundeneigenen Anwendun...
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
No part of this publication may be reproduced or transmitted...
Nächste SlideShare
Wird geladen in …5
×

SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis

518 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
518
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
62
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis

  1. 1. SAP NetWeaver Application Server Database & Technology SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis ©2015SAPSEodereinSAP-Konzernunternehmen.AlleRechtevorbehalten
  2. 2. © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. 2 / 9 Inhalt 3 SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis 4 Management Summary 5 Lösungsbeschreibung 6 Aktivierung und Nutzung im ABAP Test Cockpit 8 Lizenzmodell und Funktionalitäten
  3. 3. 3 / 8 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. AUF EINEN BLICK Branche(n): Cross Lösungseigenschaften: Sicherheitslücken im Coding selbstentwickelter ABAP-Anwendungen erkennen und lösen Hauptnutzen: •• IT-Sicherheitsrisiken reduzieren und damit sensible Geschäftsdaten schützen •• Test-Aufwand verringern •• Schwachstellen im ABAP-Quellcode automatisiert entdecken •• Compliance bei Sicherheits-Audits sicherstellen Das neue Werkzeug zur Schwachstellensuche im Quellcode von ABAP-basierten Anwendungen ermöglicht es Unternehmen, den Quellcode ihrer eigenentwickelten ABAP-Lösungen automatisiert auf Sicherheitslücken zu testen. SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis
  4. 4. 4 / 8 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. Verschlüsselung, Firewalls und Intrusion-Prevention- Systeme reichen nicht aus, um IT-Systeme vollständig gegen äußere Angriffe abzusichern. Der Quellcode eigener Anwendungen kann Sicherheitslücken bein- halten, die sich nicht durch nachgelagerte Maßnahmen schließen lassen. Mit SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis können Entwick- ler ihren Code automatisiert auf Schwachstellen prüfen lassen und diese anschließend mithilfe detaillierter Lösungsempfehlungen beseitigen. Unternehmen erfüllen so gesetzliche Vorgaben an die IT-Sicherheit. Im Gegen- satz zu vergleichbaren Tools ist das Add-on in die ABAP-Entwicklungsumgebung voll integriert: Testauf- wände und -kosten sinken, Checks lassen sich kurzfristig auch während der Programmierung durchführen. Management Summary
  5. 5. 5 / 8 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. Mit dem Add-on erhalten Unternehmen das gleiche Tool, das SAP für die Quelltextprüfung der eigenen Lösungen bei der Entwicklung von Kundenanwendungen einsetzt. Es lassen sich sowohl selbstentwickelte On-Premise- als auch On-Demand-Anwendungen testen, die in ABAP programmiert sind. Das Tool erkennt unter anderem wesentliche Sicher- heitsschwachstellen, die vom Open Web Application Security Project (OWASP) identifiziert werden: 1. Injection (SQL, OS, LDAP) 2. Unsichere direkte Objektreferenzen 3. Fehlender Zugriffsschutz auf Funktionsebene 4. Verwendung von Komponenten mit bekannten Schwachstellen In Ergänzung zu den in SAP NetWeaver AS ABAP integri- erten Standardchecks wertet das Add-on komplette Datenflüsse aus und erkennt dadurch, ob eine potentielle Schwachstelle tatsächlich ausgenutzt werden kann. Dazu analysiert das Add-on insbesondere potenziell unsichere Stellen im Quelltext, in denen auf Eingaben aus anderen Code Units zugegriffen wird. Zudem erkennt das Werkzeug sichernde Maßnahmen, wie die Verwend- ung von Schutzmechanismen zur Prüfung von Eingabe- werten. Zusätzlich werden Datentypen berücksichtigt: So sind Integer-Variable nicht anfällig für SQL-Injections und werden beim entsprechenden Check übersprungen. Durch beide Maßnahmen sinkt die Zahl an „False Posi- tives“, die gefundenen Probleme lassen sich schneller auswerten. Lösungsbeschreibung
  6. 6. 6 / 8 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. Das Add-on ist bereits in SAP NetWeaver AS ABAP enthalten, eine Installation ist nicht notwendig. Damit entfällt auch der Bedarf an zusätzlichen Servern, wie das bei vergleichbaren Lösungen der Fall ist. Das Add-on wird über das Programm RSLIN_SEC_LICENSE_SETUP aktiviert.Anschließend stehen die erweiterten Sicher- heitschecks in der gewohnten Entwicklungsumgebung innerhalb des ABAP Test Cockpits zur Verfügung. Schul- ungen sind nicht erforderlich. Durch die direkte Integra- tion lassen sich die Prüfungen bereits in einem frühen Stadium der Programmierung durchführen; nachfolgende und daher aufwendige Bereinigungen werden minimiert. Aktivierung und Nutzung im ABAP Test Cockpit Tiefe Integration in das ABAP Test Cockpit
  7. 7. 7 / 8 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. Nach der automatisierten Prüfung listet die Software alle potenziellen Sicherheitslücken sortiert nach Priorität auf. Zu jedem Eintrag lassen sich Hintergrundinformationen aufrufen. Mit dieser Hilfe können Programmierer leichter erkennen, ob es sich um ein „False Positive“ oder ein tatsächliches Sicher- heitsproblem handelt. Das Tool gibt Empfehlungen, wie der Quelltext geändert werden kann, um die Schwachstellen zu beseitigen. Neben den individuellen Checks für einzelne Entwickler bietet das Werkzeug auch Massenchecks an, etwa um eine gesamte Anwendung auf Schwachstellen zu prüfen. Hintergründe und Lösungshinweise zu den gefundenen Schwachstellen
  8. 8. 8 / 8 Lizenzmodell und Funktionalitäten Lizenzmodell: •• Named-User-Lizenzen für die Analyse von kundeneigenen Anwendungen •• Developer-User-Lizenzen für die Analyse von Anwendungen, die von Partnern und Kunden entwickelt und weiterverkauft werden Funktionalitäten: •• Automatisierte Quellcode-Analyse als Teil der Statischen Anwendungssicherheitstests (SAST) •• Identifikation wichtiger Sicherheitslücken nach OWASP •• Kontextsensitive Hinweise zur Behebung •• Integration in das ABAP Test Cockpit •• Individual- und Massenprüfungen Verwandte Produkte: SAP NetWeaver Application Server, SAP NetWeaver Identity Management, SAP Access Control, SAP NetWeaver Single Sign-On, SAP Enterprise Threat Detection, SAP Cloud Identity Weitere Informationen: ABAP-Testing und -Troubleshooting Details zum Code Inspector Details zum ABAP Test Cockpit Secure Programming Guide for ABAP Ihr Ansprechpartner: Martin Müller Solution Senior Expert Security mart.mueller@sap.com Studio SAP | 39447deDE (15/07) © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.
  9. 9. © 2015 SAP SE or an SAP affiliate company. All rights reserved. No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP SE or an SAP affiliate company. SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE (or an SAP affiliate company) in Germany and other countries. Please see http://www.sap.com/corporate-en/legal/copyright/index.epx#trademark for additional trademark information and notices. Some software products marketed by SAP SE and its distributors contain proprietary software components of other software vendors. National product specifications may vary. These materials are provided by SAP SE or an SAP affiliate company for informational purposes only, without representation or warranty of any kind, and SAP SE or its affiliated companies shall not be liable for errors or omissions with respect to the materials. The only warranties for SAP SE or SAP affiliate company products and services are those that are set forth in the express warranty statements accompanying such products and services, if any. Nothing herein should be construed as constituting an additional warranty. In particular, SAP SE or its affiliated companies have no obligation to pursue any course of business outlined in this document or any related presentation, or to develop or release any functionality mentioned therein. This document, or any related presentation, and SAP SE’s or its affiliated companies’ strategy and possible future developments, products, and/or platform directions and functionality are all subject to change and may be changed by SAP SE or its affiliated companies at any time for any reason without notice. The information in this document is not a commitment, promise, or legal obligation to deliver any material, code, or functionality. All forward-looking statements are subject to various risks and uncertainties that could cause actual results to differ materially from expectations. Readers are cautioned not to place undue reliance on these forward-looking statements, which speak only as of their dates, and they should not be relied upon in making purchasing decisions.

×