Cosa puoi fare da subito per migliorare gli sviluppi nei tuoi sistemi (non solo SAP)?
Come è possibile controllare subito il codice sviluppato evitando di dover metterci mano a seguito? Con costi molto più alti.
1 - Contratti di fornitura
Senza alcuna condizione, nel caso di sviluppi chiesti all'esterno, è difficile controllare e richiedere appunto delle "garanzie" di qualità e sicurezza del codice sviluppato.
In caso di nuove forniture o rinnovi valuta l'inserimento di condizioni contrattuali specifiche e riservati il diritto di controllare anche a seguito il codice sviluppato.
Oppure definisci delle regole minime. Due esempi tra i più ricorrenti?
- Evita hard-coded
- Controllo dell'input utente
Leggi qui quali sono gli altri casi comuni di problematiche nel codice, in particolare SAP.
2 - Cosa puoi fare in SAP da subito?
Attiva le funzionalità standard di controllo della sicurezza e qualità del codice sviluppato.
Puoi usare il Source Code Inspector (transazione SCI) e chiedere al team di sviluppo di basare i controlli su quello.
Qui puoi trovare un documento utile sviluppato da AGID (Agenzia per l'Italia Digitale) sulle linee guida di sviluppo sicuro del codice nella pubblica amministrazione (Linee guida per lo sviluppo del software sicuro)
Ma è meglio un team di sviluppo interno oppure esterno?
3 - Valuta delle soluzioni di controllo automatico del codice
Purtroppo, è molto difficile riuscire a dare delle regole a sviluppatori (ed a controllarle), soprattutto se si sviluppa in molti linguaggi, in contesti dove molti gruppi e fornitori potrebbero lavorare su molti progetti.
Diventa quindi fondamentale avere uno strumento che i fornitori oppure gli sviluppatori interni possano utilizzare per controllare, se possibile in real-time, il codice sviluppato. Soprattutto per quanto riguarda le vulnerabilità.
Quanto sviluppi? Dove ed in quale linguaggio?
- Gli sviluppi sono principalmente in SAP oppure su altre piattaforme? In quale linguaggio di programmazione? Questo può essere uno dei driver per scegliere che tipo di software adottare
- Che tipo di controllo vuoi fare? Real time oppure detective?
- I fornitori si devono installare del software o meno?
- L'eventuale software come si integra nel processo di sviluppo del codice? Ad esempio ci sono approvazioni?
- Dove svilupperai e cosa? Applicazioni on-premise oppure Cloud?
- Ma è possibile avere un servizio di AMS (AMS application management services secure coding) sulla sicurezza del codice? A nostro avviso si! Contattaci per avere ulteriori informazioni.