DevSecOps
DevSecOps (Development, Security und Operations) bezeichnet die Praxis, automatisierte Sicherheitsprüfungen in jede Phase des Softwareentwicklungslebenszyklus (SDLC) zu integrieren. Dies ist für SAP-Entwicklungs- und Sicherheitsteams von entscheidender Bedeutung, da stark angepasste ERP-Anwendungen häufig Schwachstellen wie fehlende Berechtigungsprüfungen oder SQL-Injections direkt in die Produktionsumgebungen einbringen. Durch die Integration von Sicherheit in DevOps-Prozesse wechseln Unternehmen von reaktiven Patches zu proaktiver Prävention und stellen so sicher, dass maßgeschneiderter ABAP-Code von Grund auf sicher ist.
So implementieren Sie DevSecOps in SAP
Die Absicherung maßgeschneiderter ERP-Anwendungen erfordert eine „Shift-Left“-Mentalität. Um DevSecOps in SAP erfolgreich zu stärken, müssen Unternehmen automatisierte Tests in bestehende Entwickler-Workflows integrieren, anstatt sich auf manuelle Code-Reviews unmittelbar vor der Veröffentlichung zu verlassen.
Voraussetzungen
- Zugriff auf SAP-Entwicklungsumgebungen (IDE) und Transportmanagementsysteme.
- Tools für automatisierte Anwendungssicherheitstests (AST), die in der Lage sind, proprietären SAP-Code wie ABAP zu analysieren.
- Funktionsübergreifende Abstimmung zwischen den Teams aus den Bereichen Entwicklung, Betrieb und Sicherheit hinsichtlich akzeptabler Risikogrenzen.
Der Sanierungsablauf
- Code-Prüfung während der Erstellung: Stellen Sie Entwicklern IDE-Plugins zur Verfügung, die Syntaxfehler und Sicherheitslücken bereits während der aktiven Code-Erstellung erkennen.
- Automatisierte Peer-Review: Es müssen automatisierte SAST-Prüfungen (Static Application Security Testing) durchgeführt werden, bevor benutzerdefinierter Code in das zentrale Repository eingecheckt werden darf.
- Transportprüfung: Setzen Sie strenge Qualitätskontrollen durch, die SAP-Transporte, die kritische Sicherheitsverstöße enthalten, automatisch daran hindern, in die Qualitätssicherung oder in Produktionssysteme zu gelangen.
- Kontinuierliches Feedback: Leiten Sie detaillierte Anweisungen zur Fehlerbehebung direkt an den für den Code verantwortlichen Entwickler weiter, um Verzögerungen in der Release-Pipeline zu vermeiden.
Überprüfungsschritt
Führen Sie einen Testtransport durch, der ein bekanntes, anfälliges ABAP-Skript enthält, um zu überprüfen, ob das automatisierte Qualitätsgate den Transport erfolgreich abfängt und verhindert, dass er in die Produktionsumgebung gelangt.
Häufig gestellte Fragen
Warum stellt DevSecOps bei SAP eine besondere Herausforderung dar?
Allgemeine IT-Sicherheitstools sind nicht in der Lage, proprietären SAP-Code zu lesen oder komplexe SAP-Berechtigungsmodelle zu verstehen. Hierfür sind spezialisierte Tools für Anwendungssicherheitstests erforderlich, die speziell für das ERP-Ökosystem entwickelt wurden, um Fehlalarme zu vermeiden und die Release-Pipeline zu sichern.
Wie verbessert DevSecOps die betriebliche Effizienz?
Das Aufspüren und Beheben einer Software-Sicherheitslücke in der Produktionsumgebung ist deutlich kostspieliger und zeitaufwendiger als deren Behebung bereits während der Entwicklungsphase. DevSecOps automatisiert diese Prüfungen bereits in einem frühen Stadium, wodurch Nacharbeiten reduziert, manuelle Sicherheitsengpässe beseitigt und die Bereitstellung neuer Geschäftsfunktionen beschleunigt werden.
Welche Lösungen ermöglichen SAP DevSecOps?
Unternehmen nutzen Plattformen wie Onapsis Control, um die Sicherheit innerhalb des SAP-SDLC zu automatisieren. Dieses Tool überprüft benutzerdefinierten Code und Transporte und verhindert so automatisch, dass risikobehaftete Änderungen in geschäftskritische Systeme gelangen, ohne dabei die Entwicklungszyklen zu verlangsamen.
