main banner

SAP Code Vulnerability Analyzer (SAP CVA)

Обеспечьте безопасность и совместимость ABAP-кода на ранних стадиях разработки.

Запросить демо
SAP
Как SAP Gold Partner, мы предоставляем доступ к ресурсам и специалистам, опыт которых гарантирует надежность вашего проекта и помогает адаптировать решения SAP к вашим уникальным потребностям, обеспечивая окупаемость инвестиций и эффективность.
SAP Global Strategic Supplier
Партнерство c LeverX в качестве стратегического поставщика SAP выходит за рамки взаимодействия “покупатель-продавец”. Мы предоставляем критически важные решения для глобальных операций, сотрудничаем с вами в разработке продуктов и помогаем продвигать стратегические инициативы.
SAP_Certified_PartnerCenter_of_Expertise_R
LeverX — сертифицированный партнер SAP Center of Expertise, который гарантирует соответствие самым современным стандартам SAP. Мы обеспечиваем высокий уровень обслуживания и помогаем клиентам успешно достигать своих целей. Наша цель — поддержать ваш бизнес, создавая надежные и эффективные решения на базе SAP.
AppHausNetwork
Будучи членом сети SAP AppHaus, мы помогаем компаниям обеспечить исключительный пользовательский опыт и стимулировать цифровую трансформацию, используя дизайн-мышление, инновации и лучшие практики и передовые инструменты SAP для создания ориентированных на пользователя решений.
    ISO 9001
    ISO 55001
    ISO 27001
    ISO 22301
      Microsoft Solutions Partner
      AWS Logo
      Google Cloud Partner
        awards-bage
        Мы гордимся своими успехами, которые подтверждают высокие стандарты работы команды LeverX. Узнайте больше о наших достижениях на рынке цифровой трансформации бизнеса! Все награды

          Связаться с нами

          Заполните форму ниже, и мы свяжемся с вами в кратчайшие сроки.

          закрыть
          Преимущества
          Особенности
          Возможности
          Услуги
          Карта внедрения
          FAQ
          Консультация эксперта

          Преимущества SAP CVA для вашего бизнеса

          SAP CVA позволяет сделать проверки безопасности неотъемлемой частью цикла разработки SAP, обеспечивая защиту инфраструктуры и соответствие стандартам.
          Control

          Раннее распознавание уязвимостей

          SAP CVA распознает уязвимости кода на ранних этапах разработки, снижая риски сбоев и нарушений безопасности в будущем.
          Bar-graph low

          Уменьшение ложных срабатываний

          Своевременное обнаружение уязвимостей снижает количество ложных срабатываний и помогает предотвратить риски мошенничества и связанных с ним проблем.
          Vote

          Соответствие и безопасность

          SAP Code Vulnerability Analyzer помогает соблюдать как общие стандарты безопасности разработки, так и отраслевые.
          Money-1

          Снижение расходов

          SAP CVA позволяет устранять уязвимости еще на стадии разработки, что снижает расходы на доработку готового продукта и восстановление после утечек данных.
          Network_connected-1

          Отчетность и прозрачность

          SAP CVA генерирует отчеты о выявленных проблемах, классифицируя их по типу и серьезности, что упрощает проверки безопасности.
          Integration

          Интеграция с решениями SAP

          SAP CVA интегрируется с ABAP Test Cockpit, позволяя выполнять проверки на уязвимости в рамках существующих процессов разработки без сторонних инструментов.
          Обеспечьте безопасность SAP-решений уже на начальном этапе
          Свяжитесь с нами

          Elizaveta Koritko

          Business Development Executive

          Ключевые особенности SAP Code Vulnerability Analyzer

          SAP CVA помогает оптимизировать ABAP-разработку с помощью продвинутых функций:
          Статический анализ кода
          Интеграция с инструментами для SAP-разработки
          Подробные отчеты об уязвимостях
          Сканирование в режиме реального времени
          Проверки авторизации и доступа
          Управление базовыми показателями и исключениями

          Статический анализ кода

          • Обнаружение SQL-инъекций и межсайтового скриптинга (XSS)
          • Выявление отсутствующих или некорректных проверок авторизации
          • Защита паролей и другой конфиденциальной информации

          Технические возможности SAP Code Vulnerability Analyzer

          SAP CVA помогает повысить безопасность вашей SAP-системы благодаря сканированию и анализу различных элементов кода с помощью современных технологий.

           

          Предмет сканирования

          Исходный ABAP-код

          • Пользовательские программы, разработанные на ABAP
          • Функциональные модули, классы и методы
          • Отчеты и include-файлы

          Приложения ABAP Web Dynpro

          • UI-компоненты и обработчики событий
          • Логика валидации ввода

          Бизнес-дополнения (BAdI) и пользовательские расширения (user exits)

          • Пользовательские улучшения и расширения
          • Код, написанный в рамках SAP Enhancement Frameworks

          Формы и скрипты

          • Логика в Smart Forms и SAPscript
          • Обработка динамических данных и операций ввода/вывода

          Код доступа к данным

          • Операторы Select, Insert, Update и Delete 
          • Динамический SQL и команды Open SQL

          Логика авторизации

          • Операторы authority-check
          • Проверка ролей и прав доступа

          Удаленные вызовы функций (RFC)

          • Взаимодействие кода с внешними системами
          • Валидация параметров и обработка данных в функциях с поддержкой RFC

          Конструкции динамического программирования

          • Операторы Eexcute, Assign и Call Method 
          • Код с динамическим выполнением или манипуляцией переменными

          Интерфейсы и вызовы API

          • Взаимодействие кода с API SAP или сторонних систем
          • Проверка входных и выходных данных в интерфейсах

          Работа с постоянными и временными данными

          • Логика работы с файлами (например, Open Dataset и другими)
          • Использование временных таблиц и управление памятью

          Методики анализа

          Статический анализ кода

          • Анализирует исходный код без его выполнения
          • Выявляет уязвимости, такие как SQL-инъекции, XSS и встроенные в код учетные данные

          Анализ потока данных

          • Отслеживает, как данные проходят через код
          • Обнаруживает небезопасную обработку пользовательского ввода или конфиденциальных данных
          • Помогает выявлять точки инъекций и «загрязненные» пути данных

          Анализ потока управления

          • Анализирует пути выполнения кода
          • Выявляет логические ошибки или обходы проверок авторизации

          Сопоставление с шаблонами

          • Использует заранее заданные шаблоны уязвимостей (например, рискованные вызовы функций)
          • Отмечает код, соответствующий известным небезопасным практикам программирования

          Контекстно-чувствительный анализ

          • Учитывает контекст использования оператора
          • Позволяет избежать ложных срабатываний, понимая логику окружающего кода

          Межпроцедурный анализ

          • Анализирует код между методами, функциями и программами
          • Выявляет уязвимости, охватывающие несколько модулей кода

          Семантический анализ

          • Понимает смысл и намерение операторов кода
          • Проверяет, насколько логично реализованы проверки авторизации и ввода

          Анализ проверок авторизации

          • Проверяет наличие и корректность операторов authority-check
          • Обеспечивает реализацию надлежащего ролевого контроля доступа

          Анализ на основе правил

          • Использует предопределенные SAP и пользовательские правила безопасности
          • Может быть расширен или адаптирован под внутренние политики безопасности

          Интеграция с ATC

          • Использует инфраструктуру ATC для проверки кода
          • Обеспечивает стандартизированную и централизованную валидацию безопасности в проектах

          Как мы можем помочь

          Мы предоставляем весь спектр услуг по работе с SAP Code Vulnerability Analyzer.
          Implementation

          Внедрение и конфигурация

          Эксперты LeverX помогут настроить и активировать SAP CVA в SAP NetWeaver или SAP BTP ABAP Environment, а также интегрировать CVA с ABAP Test Cockpit или пользовательскими решениями.
          Integration

          Сканирование кода и оценка уязвимостей

          Мы поможем интерпретировать технические и исполнительные отчеты по оценке рисков и улучшить защиту бизнес-процессов, обеспечив соответствие стандартам.
          Support

          Круглосуточная служба поддержки

          Наша служба поддержки поможет с решением любых вопросов, связанных с CVA, будь то пояснение к терминологии или устранение ошибок.
          Consulting

          Обучение и тренинг команды разработки

          LeverX проводит семинары для ABAP-разработчиков и архитекторов, а также организует тренинги по Security by Design в SAP-разработке.
          Security

          Интеграция с SAP Security

          Мы интегрируем SAP CVA в SAP GRC, SAP Enterprise Threat Detection и Converged Cloud Security, обеспечивая проведение проверок в соответствии со стандартами SAP Security Baseline.
          Узнайте больше о наших услугах в области решений SAP
          Детали
          leverx
          Свяжитесь с нами, чтобы защитить свои данные и бизнес с SAP CVA
          Запросить консультацию

          Почему LeverX

          Обширный опыт

          У нас за плечами — более 20 лет опыта работы и 950+ успешных проектов в области SAP для 800+ клиентов, включая компании из списка Fortune 500.

          Отраслевые эксперты

          Команда LeverX — это специалисты с практическими знаниями в 30+ областях, включая производство, логистику, нефтегазовую промышленность и другие.

          Партнерство с SAP

          Мы не только внедряем проекты в области SAP под ключ, но и участвуем в разработке и улучшении решений SAP вместе с вендором.

          Качество и безопасность

          LeverX работает в соответствии с международными стандартами ISO 9001, ISO 27001, ISO 22301 и ISO 55001, что гарантирует надежность и качество реализуемых проектов.

          Инвестиции в инновации

          Мы активно внедряем передовые технологии, такие как Data Science, IoT, AI, Big Data и Blockchain, чтобы помочь клиентам эффективно решать их бизнес-задачи.

          Гибкость разработки

          Наша команда на связи 24/7, что позволяет нам быстро развертывать проекты, обеспечивать прозрачность процессов и адаптировать каждый этап разработки под ваши требования.

          Карта внедрения SAP CVA

          При внедрении SAP Code Vulnerability LeverX придерживается модели Secure Software Development Lifecycle (Secure SDLC). Такой подход включает пять стадий:

          Конфигурацию → Сканирование → Анализ → Исправление ошибок → Повторное сканирование

          Этот цикл повторяется в каждой стадии разработки, обеспечивая непрерывную безопасность кода.

          Активация CVA

          Убедитесь, что ваша система SAP имеет нужную версию программного обеспечения и другие необходимые инструменты. Затем активируйте проверку безопасности в настройках системы и выберите, какие типы уязвимостей должны быть выявлены. После этого настройте CVA на выполнение проверок вручную или по расписанию.

          1

          Сканирование кода

          Запустите сканирование нужных участков кода с помощью встроенных инструментов SAP или напрямую из вашей среды разработки. Для удобства сканирование можно автоматизировать: оно будет запускаться автоматически при каждом обновлении кода.

          2

          Интерпретация и анализ результатов

          После сканирования результаты группируются по типам уязвимостей, например, XSS-атаки или встроенные в код пароли. Каждый результат показывает, где именно находится проблема, насколько она критична и как ее можно исправить.

          3

          Устранение уязвимостей

          Следуйте рекомендациям SAP для устранения выявленных проблем: 

          • Применяйте безопасные методы программирования;
          • Удаляйте встроенные в код учетные данные;
          • Используйте безопасные практики программирования на ранних этапах разработки;
          • Сделайте регулярные проверки безопасности частью процесса.

          4

          Повторное сканирование

          После внесения исправлений повторно запустите проверку и сравните новые результаты с предыдущими, чтобы отследить прогресс. Ведите журнал обнаруженных проблем — это поможет выявлять повторяющиеся ошибки и повысить качество кода.

          5

          FAQ

          Включен ли SAP CVA в лицензию SAP по умолчанию, или его нужно приобретать отдельно?

          По умолчанию SAP CVA включен в SAP NetWeaver AS ABAP версии 7.02 и выше, и отдельная покупка лицензии не требуется. Но для использования некоторых расширенных функций может потребоваться дополнительная настройка или назначение ролей — зависит от конфигурации системы в каждом отдельном случае.

          Какие типы уязвимостей обнаруживает SAP CVA?

          SAP Code Vulnerability Analyzer выявляет широкий спектр уязвимостей в коде, включая:

          • SQL-инъекции;
          • Межсайтовый скриптинг (XSS);
          • Отсутствующие или некорректные проверки авторизации;
          • Опасный доступ к файловой системе;
          • Встроенные в код учетные данные и утечку конфиденциальной информации.
          С какими системами SAP совместим CVA?

          SAP CVA совместим со следующими системами:

          • SAP NetWeaver AS ABAP 7.02 и выше (локально);
          • SAP S/4HANA (все версии со встроенным NetWeaver);
          • SAP BTP ABAP Environment (для облачной разработки).
          Можно ли интегрировать SAP CVA в DevOps или CI/CD-пайплайны?
          Да, SAP CVA запускается как часть ABAP Test Cockpit, который может автоматически выполняться в CI/CD-пайплайнах. Это позволяет напрямую включить проверку безопасности ABAP-кода в жизненный цикл разработки.
          показать больше

          СВЯЗАТЬСЯ С НАМИ

          Что будет дальше?

          • 1

            Наши специалисты свяжутся с вами, чтобы детально обсудить ваши бизнес-цели и детали будущего проекта.

          • 2

            Мы подпишем соглашение о неразглашении, чтобы обеспечить безопасность ваших данных.

          • 3

            Наша команда подготовит индивидуальное проектное предложение с указанием объема, сроков и бюджета.

          20+
          лет опыта
          950+
          проектов
          1800+
          экспертов

          СВЯЗАТЬСЯ С НАМИ
          Все локации →
          Кабанбай батыр 15А • Business center Q, офис 4-4, Астана • Казахстан +7-705-625-24-60 contact-leverx@leverx.com