Branche – Bundesverwaltung
Unternehmensgröße – 700.000 (Zivilbevölkerung) 1,4 Mio.
Hintergrund
Das Theater Enterprise-Wide Logistics System (TEWLS) ist eine auf SAP-Software basierende Anwendung, die die Gesundheitsbehörde des US-Verteidigungsministeriums (DOD) nutzt, um die medizinische Logistik über eine einzige gemeinsame Datenumgebung zu koordinieren und so alle Streitkräfte zu unterstützen. Es wurde von der US-Armee entwickelt und vom DOD übernommen.
Herausforderung
Nachweis, dass der SAP®-ABAP-Code sicher war und den DOD-Standards entsprach.
Lösung
Die Onapsis-Codeanalyse überprüft ABAP-Code in allen Phasen des Entwicklungsprozesses, meldet etwaige Schwachstellen und liefert konkrete Anleitungen zu deren Behebung. Dank einer geringen Anzahl von Fehlalarmen, automatisierten Scans und automatischen Korrekturmaßnahmen wird der Aufwand für Entwickler bei der Code-Pflege und beim Nachweis der Einhaltung von DOD-Standards erheblich reduziert.
Da sich der DOD bewusst ist, dass anfälliger Code zu einem Ausfall der Anwendung oder zur Kompromittierung eines gesamten Systems führen kann – was Menschenleben kosten könnte –, verlangt er strenge Sicherheitstests für den gesamten Programmcode, bevor er die Betriebsgenehmigung (Authority to Operate, ATO) erteilt. Aus diesem Grund werden alle für TEWLS entwickelten kundenspezifischen SAP-ABAP®-Anwendungen einer intensiven Prüfung unterzogen.
Leider konnte TEWLS die vom US-Verteidigungsministerium (DOD) für die Erteilung der ATO geforderten statischen Code-Scans und sonstigen Tests nicht bestehen. Die TEWLS-Entwickler mussten die Sicherheit und Konformität ihres ABAP-Codes nachweisen können, doch die verfügbaren Tools waren unzureichend und wiesen zahlreiche Einschränkungen auf, darunter Fehlalarme, inkonsistente Ergebnisse, ein begrenzter Testumfang, keine Integration mit SAP sowie fehlende Anweisungen zur Fehlerbehebung für Entwickler.
Die TEWLS-Teams verschwendeten wertvolle Ressourcen damit, falsche Ergebnisse zu bearbeiten, und konnten letztendlich nicht nachweisen, dass ihr Code sicher und konform war, um die ATO des Verteidigungsministeriums abzuschließen.
- Schnelle Erkennung und Behebung von Sicherheitslücken
- Weniger erforderliche Code-Korrekturen
- Verbesserte Entwicklerkompetenzen
- Geringerer Aufwand und Zeitersparnis bei der Codeüberprüfung
- Stellte sicher, dass der gesamte Code den Sicherheits- und Compliance-Anforderungen entspricht
„Die Code-Analyse von Onapsis ermöglicht es uns, nachzuweisen, dass unser Code sicher und konform ist … Sie ist präzise, umfassend und konsistent und stellt sicher, dass der gesamte ABAP-Code unseren hohen Standards entspricht.“
CHRISTINE WARRING
Projektmanagerin für Nachhaltigkeit bei Tewls, Joint Medical Logistics Functional Development Center (JMLFDC)
Lösung
Als dem Verteidigungsministerium bewusst wurde, wie viel wertvolle Zeit und Ressourcen durch manuelle Analysen und unzureichende Tools verschwendet wurden, die ihnen nicht dabei helfen konnten, die ATO zu erreichen, begann es, nach Möglichkeiten für automatisiertes Code-Scanning zu suchen, und fand mit der Platform die ideale Lösung. Mit Onapsis erhielt das Verteidigungsministerium präzise Ergebnisse, die es den TEWLS-Teams ermöglichten, die erforderlichen Tests zu bestehen, um die Sicherheit ihres Codes nachzuweisen. Die Code-Bewertung von Onapsis ist umfassend und eng in SAP integriert und liefert detaillierte Anweisungen zur Behebung, wenn Probleme festgestellt werden. Mithilfe von Daten- und control werden auch Module und Inhalte, auf die über den ausgewählten Code hinaus zugegriffen wird, auf Schwachstellen überprüft. Dies macht die Klassifizierung von Problemen zuverlässiger und reduziert die Anzahl von Fehlalarmen.
Die Code-Analyse von Onapsis lässt sich nahtlos in die verschiedenen Phasen des Entwicklungsprozesses integrieren. Ein frei konfigurierbarer Workflow gewährleistet, dass unternehmensspezifische Compliance-Richtlinien zum Zwecke der Überprüfung und Korrektur abgebildet und protokolliert werden können. Die Integration in das SAP-Transportsystem stellt sicher, dass fehlerhafter Code nicht in das Produktivsystem gelangt.
Während der Programmierung neuen Codes erhalten Entwickler kontinuierliches, interaktives Feedback, und Sicherheitslücken werden sofort gemeldet. Die Code-Analyse von Onapsis identifiziert die problematische Anweisung und stuft das entsprechende Risiko umgehend ein. Um Entwickler bei der Behebung des Problems optimal zu unterstützen, werden für die jeweilige Sicherheitslücke Korrekturvorschläge angezeigt. Dieses direkte Feedback in Verbindung mit einer umfassenden Dokumentation trägt dazu bei, den Lernprozess der Entwickler zu beschleunigen.