ABAP-Code
ABAP-Code (Advanced Business Application Programming) ist die proprietäre Programmiersprache, die zur Entwicklung und Anpassung von Anwendungen innerhalb des SAP-Ökosystems verwendet wird. Für SAP-Entwicklungs- und Sicherheitsteams ist es von entscheidender Bedeutung, diesen Code zu überwachen, da unsicherer benutzerdefinierter ABAP-Code häufig schwerwiegende Sicherheitslücken wie SQL-Injections oder fehlende Berechtigungsprüfungen direkt in geschäftskritische Umgebungen einbringt. Um diesen Code zu sichern, müssen automatisierte Tests in den Entwicklungslebenszyklus integriert werden, damit Schwachstellen erkannt werden, bevor sie in die Produktion gelangen.
So sichern Sie benutzerdefinierten ABAP-Code
Um benutzerdefinierten ABAP-Code abzusichern, muss die Sicherheit nach vorne verlagert werden, indem sie in SAP DevOps integriert wird. Dieser prozessorientierte Ansatz verhindert, dass anfälliger Code in der Produktionsumgebung ausgeführt wird, und verringert die Abhängigkeit von manuellen Codeüberprüfungen.
Voraussetzungen
- Zugriff auf SAP-Entwicklungsumgebungen und Transportmanagementsysteme.
- Ein automatisiertes Tool für statische Anwendungssicherheitstests (SAST), das proprietäre SAP-Programmiersprachen analysieren kann.
- Eine festgelegte Richtlinie für sichere Programmierung, in der akzeptable Risikogrenzen dargelegt sind.
Der Sanierungsablauf
- AnalyseBaseline : Durchsuchen Sie das vorhandene Repository mit benutzerdefiniertem ABAP-Code, um veraltete Sicherheitslücken zu identifizieren und eine baseline festzulegen.
- Entwicklerprüfungen automatisieren: Integrieren Sie Sicherheitstests direkt in die Entwicklerumgebung (IDE), um Programmierfehler bereits während der Code-Erstellung zu erkennen.
- Transportprüfung: Setzen Sie Qualitätskontrollen durch, die SAP-Transporte, die kritische Sicherheitsverstöße enthalten, automatisch daran hindern, in die Qualitätssicherungs- oder Produktionssysteme zu gelangen.
- Kontinuierliche Behebung: Stellen Sie den Entwicklungsteams konkrete Anleitungen zur Behebung bereit, damit erkannte Schwachstellen behoben werden können, ohne den Zeitplan für die Veröffentlichung zu beeinträchtigen.
Überprüfungsschritt
Führen Sie eine automatisierte Transportprüfung durch, um sicherzustellen, dass ein Transport, der eine bekannte Test-Sicherheitslücke enthält, erfolgreich daran gehindert wird, in die Produktionsumgebung migriert zu werden.
Häufig gestellte Fragen
Warum ist es besonders schwierig, ABAP-Code abzusichern?
Allgemeine Tools zur Anwendungssicherheit können proprietären ABAP-Code nicht analysieren, was zu einer erheblichen Informationslücke führt. In vielen Unternehmen fehlen Entwickler, die speziell in sicheren ABAP-Programmierpraktiken geschult sind, was dazu führt, dass bei der Anpassung von SAP-Anwendungen unbeabsichtigt Schwachstellen entstehen.
Was sind die häufigsten Schwachstellen, die in ABAP-Code gefunden werden?
Zu den häufigsten Schwachstellen zählen ABAP-spezifische SQL-Injections, fehlende Berechtigungsprüfungen, Verzeichnisüberquerungen und fest codierte Anmeldedaten. Angreifer nutzen diese spezifischen Schwachstellen aus, um die üblichen SAP-Perimeterkontrollen zu umgehen und direkt auf sensible Geschäftsdaten zuzugreifen.
Wie automatisieren Unternehmen die Sicherheit von ABAP-Code?
Unternehmen integrieren spezialisierte Testplattformen direkt in ihre SAP-Entwicklungsprozesse, um manuelle Codeüberprüfungen zu vermeiden. Mithilfe von Tools wie Onapsis Control können Entwicklungsteams das Scannen von Code und die Überprüfung von Transporten automatisieren. Dieser Ansatz verlagert die Sicherheit in eine frühere Phase des Entwicklungsprozesses und ermöglicht so die Erkennung und Behebung von ABAP-Schwachstellen, bevor diese Auswirkungen auf umsatzgenerierende Systeme haben.