Analyse von SAP-Eigenprogrammcode

Finden Sie Probleme in Bezug auf Qualität, Sicherheit und Compliance bei ABAP, SAPUI5 (FIORI), XSJS und SQLSCRIPT

So funktioniert die Code-Analyse von Onapsis

Die Code-Analyse von Onapsis basiert auf umfangreichen Testfällen, die Onapsis im Laufe seiner langjährigen Erfahrung mit Kundenprojekten entwickelt hat, sowie auf einer Datenbank mit Mustern für unsichere Programmierung, schlechte Codequalität oder langsamen Code. Die Testfälle lassen sich in sechs Bereiche einteilen und beleuchten Code-Probleme aus allen Blickwinkeln, um sicherzustellen, dass Ihre Anwendungen sicher, konform und verfügbar bleiben. Nachfolgend finden Sie einige Beispiele für häufige Schwachstellen nach Bereichen:

Sicherheit

Cross-Site-Scripting, SQL-Injektionen, fehlende Berechtigungsprüfungen, unsichere Kommunikation – Compliance
Fest codierte Benutzernamen, clientübergreifender Zugriff auf Geschäftsdaten, direkter Datenbankzugriff

Leistung

Verwendung des Befehls WAIT, der Anweisung COMMIT in einer Schleife, unvollständiger Index in der WHERE-Bedingung

Wartbarkeit

Fest codierter Text in WRITE oder MESSAGE, fest codierte Domänen, Programme oder Methoden mit unzureichendem Kommentar-Code-Verhältnis

Robustheit

Unsortierte SELECT-Anweisungen auf Pool- oder Cluster-Tabellen, fest codierte RFC-Ziele, fehlende sy-subrc-Prüfungen

Verhinderung von Datenverlusten

Offenlegung kritischer Datenbankinhalte, Offenlegung des Quellcodes, Offenlegung kritischer Variableninhalte

Alle festgestellten Probleme enthalten Angaben zur Schwere, eine Erläuterung der Sicherheitslücke, die Auswirkungen auf den Geschäftsbetrieb sowie Anleitungen zur Behebung. Dies liefert Ihnen wichtige Hintergrundinformationen, um zu entscheiden, ob Sie das Risiko in Kauf nehmen möchten und wie Sie die Behebung der von Ihnen ausgewählten Probleme priorisieren sollten.

Manuelle Code-Prüfungen sind arbeitsintensiv, fehleranfällig und lassen häufig nicht alle kritischen Probleme erkennen. Onapsis löst dieses Problem durch eine automatische Analyse von SAP-Eigenentwicklungen, sodass Sie Sicherheits-, Compliance- und Qualitätsprobleme in kürzester Zeit aufdecken können.

Reduzieren Sie die Abhängigkeit von manuellen Peer-Reviews und sparen Sie so Zeit und Personal
Probleme frühzeitig erkennen, wenn sie noch einfacher und kostengünstiger zu beheben sind
Verhindern Sie, dass kritische Probleme in die Produktion gelangen (und exponentiell schlimmere Folgen nach sich ziehen)
Erhalten Sie konkrete Anleitungen zur Behebung jedes einzelnen Problems. Überprüfen Sie von Dritten erstellten Code (z. B. im Rahmen von Auftragsarbeiten).

Die Integration der Onapsis-Codeanalyse in Ihre Prozesse

Es gibt verschiedene Möglichkeiten, die Onapsis-Codeanalyse in Ihre Anwendungsentwicklungs- und Änderungsmanagementprozesse zu integrieren. Viele Kunden nutzen eine Kombination verschiedener Ansätze.

„Echtzeit“-Scannen: Schwachstellen während der Programmierung erkennen und beheben

Erhalten Sie während des Programmierens direkt in der Entwicklungsumgebung aktuelle Ergebnisse
Onapsis lässt sich in SAP HANA Studio, Eclipse, SAP Web IDE und die SAP ABAP Development Workbench integrieren
Entwickler erhalten eine Erläuterung des Befunds, des Geschäftsrisikos und einer umsetzbaren Lösung, sodass sie das Problem sofort beheben können

Beispiel für „Echtzeit“-Scan-Ergebnisse in der Eclipse-Entwicklungsumgebung.

Vor der Freigabe und dem Export: Verhindern Sie, dass Probleme in das nächste System übertragen werden

Vor der Weitergabe des Codes an das nächste System automatisch scannen
Ermöglicht es Ihnen, Risiken zu akzeptieren oder Probleme zu beheben, bevor die Bereitstellung auf dem nächsten System erfolgt

Die Scanergebnisse werden hier angezeigt.

Kontinuierliche Überwachung von bereitgestelltem Code: Schutz von Code in der Produktion

Führen Sie regelmäßig Scans des Codes durch, der bereits in der Produktion bereitgestellt wurde
Stellen Sie sicher, dass keine neuen Sicherheitslücken in Ihre Produktionsumgebung gelangen
Vergleichen Sie den Altcode mit den neuesten Testfällen, Sicherheitslücken und Best Practices

Die Ergebnisse werden auf der Onapsis Platform angezeigt

Oder im CodeProfiler-Finding-Manager

Zurück zu Solution Briefs

SAP-Sicherheits- und Compliance-Bewertung

Sichern Sie Ihre Zukunft: Vorbereitung auf eine erfolgreiche SAP-RISE-Transformation

Cyberangriff auf SAP gefährdet globalen Hersteller

Hacking und Verteidigung von SAP-Anwendungen – Live

10 Gründe, warum sich immer mehr Unternehmen für Onapsis entscheiden

Analyse von SAP-Eigenprogrammcode

Finden Sie Probleme in Bezug auf Qualität, Sicherheit und Compliance bei ABAP, SAPUI5 (FIORI), XSJS und SQLSCRIPT

So funktioniert die Code-Analyse von Onapsis

Die Integration der Onapsis-Codeanalyse in Ihre Prozesse

Weiterführende Literatur

Onapsis Assess for SAP SuccessFactors

SAP-Sicherheit für die Luft- und Raumfahrt sowie die Verteidigungsindustrie

Sichere Transport-Workflows in Ihrer gesamten hybriden SAP-Landschaft durchsetzen

SAP-Sicherheits- und Compliance-Bewertung

Sichern Sie Ihre Zukunft: Vorbereitung auf eine erfolgreiche SAP-RISE-Transformation

Cyberangriff auf SAP gefährdet globalen Hersteller

Hacking und Verteidigung von SAP-Anwendungen – Live

10 Gründe, warum sich immer mehr Unternehmen für Onapsis entscheiden