Sviluppatore SAP, come controllare la sicurezza del codice ABAP?

Posted by Massimo Manara on Mar 27, 2019 8:35:00 AM
Massimo Manara
Find me on:
LinkedIn

 

Gli aspetti di sicurezza del codice custom in SAP sono sempre stati sottovalutati, nella maggior parte delle installazioni.

codice sicuro

 

 

Solo recentemente, negli ultimi anni, i clienti si stanno accorgendo dell’importanza della sicurezza del codice. Principalmente linguaggio ABAP nel caso di SAP.

 

Lo sviluppatore SAP (ABAP) diventa quindi una risorsa strategica affinché la security (soprattutto custom code security) dei programmi sia presidiata e gestita correttamente.

 

Come fare a tenere alta l’attenzione?

La sensibilizzazione degli sviluppatori interni?

 

È fondamentale definire delle linee guida di sviluppo sicuro, almeno per SAP. Se possibile definendo già nei documenti di analisi dei requisiti delle sezioni ad hoc sulla security e sulla gestione dei dati personali. La sicurezza applicativa del sistema SAP ERP ma di tutti i sistemi della stessa famiglia è basata sui controlli presenti nel codice (in questo caso nel linguaggio di programmazione ABAP)

 

Le azioni più rapide da mettere in campo possono essere ad esempio le seguenti:

  • Effettuare degli incontri di sensibilizzazione sullo sviluppo del codice sicuro
  • Definire un elenco di attività da non fare, ad esempio:
    • Valori hard coded nel codice, ad esempio:
      • Nomi utenti
      • Nomi tecnici di ruoli
      • Nomi di gruppi utenti
  • Sviluppo di modelli autorizzativi differenti dallo statement authority check. Ad esempio, se l’utente esiste nella tabella X allora Y
  • Mancato controllo degli input da parte dell’utente
  • Mancato inserimento di controlli autorizzativi o definizione di controlli autorizzativi senza dichiarazione completa dei campi o utilizzo della modalità DUMMY come costante o forzatura di asterischi nel codice ABAP
  • Limitare o evitare l'utilizzo di statement ABAP di natura amministrative in programmi per utenti finali
  • Adozione di sistemi automatici di controllo e sviluppo sicuro anche durante la scrittura del codice (vedi sezione successiva).
  • Dubbi su come trattare gli sviluppi o approfondimenti sulla gestione della sicurezza nel sistema gestionale SAP?

 

 

Come fare a controllare gli sviluppatori esterni?

 

Di fondamentale importanza è quello di definire degli accordi di non divulgazione o NDA (Non Disclosure agreement) con i propri partner commerciali, quindi anche con società di consulenza che hanno accesso ai nostri sistemi informatici.

 

In particolare SAP. Effettuare degli audit sui fornitori per garantire che i dati siano crittografati.

Dotarsi di strumenti per il controllo del codice sviluppato.

 

Controllo del codice sviluppato

 

È molto complicato controllare il codice sviluppato in azienda (che sia stato creato da personale interno o esterno) per diverse ragioni:

  • Richiede delle specifiche competenze nel linguaggio utilizzato (ABAP o altri linguaggi) ad esempio:
    • Valutazione delle performance
    • Valutazione della sicurezza
    • Valutazione della manutenibilità del codice
  • Non è sempre possibile avere degli specialisti in azienda (ed in alcuni casi è anti economico averli)
  • Richiede molto tempo per poter verificare gli elementi sopra riportati

 

Diventa quindi essenziale dotarsi di uno strumento ad hoc per effettuare il controllo degli sviluppi. Considera inoltre che il linguaggio ABAP ha delle specificità particolari. I software di controllo del codice sul mercato devono essere valutati secondo le necessità dell’azienda.

 

Ha senso creare una profilazione in sviluppo per gli sviluppatori?

 

Gli sviluppatori devono essere definiti solamente nel sistema di sviluppo.

 

Parlare di profilazione degli sviluppatori in ambiente produttivo non avrebbe senso quindi.

 

Come definito nella Nota OSS Note 13202 - Security aspects in ABAP programming, SAP non ha al momento pianificato di dover sviluppare un "sap developer authorization concept" o concetto autorizzativo per gli sviluppatori (negli ambienti di sviluppo).

 

Di conseguenza uno sviluppatore nell’ambiente di sviluppo può operare senza limiti (eventuali segregazioni apportate, potrebbero essere facilmente superate).

 

Audit sulla sicurezza del codice ABAP? Contattaci qui sotto! Ti raccontiamo come definire un processo di gestione sicura del codice sviluppato.

 

Audit SAP Security Virtual Forge

 

 

Topics: SAP Security, developer, secure coding sap, sviluppo codice sicuro

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy