main banner

SAP Code Vulnerability Analyzer (SAP CVA)

Обеспечьте безопасность и совместимость ABAP-кода на ранних стадиях разработки.

Преимущества SAP CVA для вашего бизнеса

SAP CVA позволяет сделать проверки безопасности неотъемлемой частью цикла разработки SAP, обеспечивая защиту инфраструктуры и соответствие стандартам.
Control

Раннее распознавание уязвимостей

SAP CVA распознает уязвимости кода на ранних этапах разработки, снижая риски сбоев и нарушений безопасности в будущем.
Bar-graph low

Уменьшение ложных срабатываний

Своевременное обнаружение уязвимостей снижает количество ложных срабатываний и помогает предотвратить риски мошенничества и связанных с ним проблем.
Vote

Соответствие и безопасность

SAP Code Vulnerability Analyzer помогает соблюдать как общие стандарты безопасности разработки, так и отраслевые.
Money-1

Снижение расходов

SAP CVA позволяет устранять уязвимости еще на стадии разработки, что снижает расходы на доработку готового продукта и восстановление после утечек данных.
Network_connected-1

Отчетность и прозрачность

SAP CVA генерирует отчеты о выявленных проблемах, классифицируя их по типу и серьезности, что упрощает проверки безопасности.
Integration

Интеграция с решениями SAP

SAP CVA интегрируется с ABAP Test Cockpit, позволяя разработчикам выполнять проверки на уязвимости в рамках существующих процессов разработки без использования сторонних инструментов.
Хотите вывести безопасность вашей SAP-разработки на новый уровень?

Elizaveta Koritko

Business Development Executive

Ключевые особенности SAP Code Vulnerability Analyzer

SAP CVA помогает оптимизировать ABAP-разработку с помощью современного функционала:
Статический анализ кода
Интеграция с инструментами для SAP-разработки
Подробные отчеты об уязвимостях
Сканирование в режиме реального времени
Проверки авторизации и доступа
Управления базовыми показателями и исключениями

Статический анализ кода

  • Обнаружение SQL-инъекций и межсайтового скриптинга (XSS)
  • Выявление отсутствующих или некорректных проверок авторизации
  • Защита паролей и другой конфиденциальной информации

Технические возможности SAP Code Vulnerability Analyzer

SAP CVA помогает повысить безопасность вашей SAP-системы благодаря сканированию и анализу различных элементов кода с помощью современных технологий.

 

Предмет сканирования

Исходный ABAP-код

  • Пользовательские программы, разработанные на ABAP
  • Функциональные модули, классы и методы
  • Отчеты и include-файлы

Приложения ABAP Web Dynpro

  • UI-компоненты и обработчики событий
  • Логика валидации ввода

Бизнес-дополнения (BAdI) и пользовательские расширения (user exits)

  • Пользовательские улучшения и расширения
  • Код, написанный в рамках SAP Enhancement Frameworks

Формы и скрипты

  • Логика в Smart Forms и SAPscript
  • Обработка динамических данных и операций ввода/вывода

Код доступа к данным

  • Операторы SELECT, INSERT, UPDATE и DELETE 
  • Динамический SQL и команды Open SQL

Логика авторизации

  • Операторы authority-check
  • Проверка ролей и прав доступа

Удаленные вызовы функций (RFC)

  • Взаимодействие кода с внешними системами
  • Валидация параметров и обработка данных в функциях с поддержкой RFC

Конструкции динамического программирования

  • Операторы EXECUTE, ASSIGN и CALL METHOD 
  • Код с динамическим выполнением или манипуляцией переменными

Интерфейсы и вызовы API

  • Взаимодействие кода с API SAP или сторонних систем
  • Проверка входных и выходных данных в интерфейсах

Работа с постоянными и временными данными

  • Логика работы с файлами (например, OPEN DATASET и др.)
  • Использование временных таблиц и управление памятью

Методики анализа

Статический анализ кода

  • Анализирует исходный код без его выполнения
  • Выявляет уязвимости, такие как SQL-инъекции, XSS и захардкоженные учетные данные

Анализ потока данных

  • Отслеживает, как данные проходят через код
  • Обнаруживает небезопасную обработку пользовательского ввода или конфиденциальных данных
  • Помогает выявлять точки инъекций и «загрязненные» пути данных

Анализ потока управления

  • Анализирует пути выполнения кода
  • Выявляет логические ошибки или обходы проверок авторизации

Сопоставление с шаблонами

  • Использует заранее заданные шаблоны уязвимостей (например, рискованные вызовы функций)
  • Отмечает код, соответствующий известным небезопасным практикам программирования

Контекстно-чувствительный анализ

  • Учитывает контекст использования оператора
  • Позволяет избежать ложных срабатываний, понимая логику окружающего кода

Межпроцедурный анализ

  • Анализирует код между методами, функциями и программами
  • Выявляет уязвимости, охватывающие несколько модулей кода

Семантический анализ

  • Понимает смысл и намерение операторов кода
  • Проверяет, насколько логично реализованы проверки авторизации и ввода

Анализ проверок авторизации

  • Проверяет наличие и корректность операторов AUTHORITY-CHECK
  • Обеспечивает реализацию надлежащего ролевого контроля доступа

Анализ на основе правил

  • Использует предопределенные SAP и пользовательские правила безопасности
  • Может быть расширен или адаптирован под внутренние политики безопасности

Интеграция с ATC (ABAP Test Cockpit)

  • Использует инфраструктуру ATC для проверки кода
  • Обеспечивает стандартизированную и централизованную валидацию безопасности в проектах

Как мы можем помочь

Мы предоставляем весь спектр услуг по работе с SAP Code Vulnerability Analyzer.
Implementation

Внедрение и конфигурация

Эксперты LeverX помогут настроить и активировать SAP CVA в SAP NetWeaver или SAP BTP ABAP Environment, а также интегрировать CVA с ABAP Test Cockpit или пользовательскими решениями.
Integration

Сканирование кода и оценка уязвимостей

Мы поможем интерпретировать технические и исполнительные отчеты по оценке рисков и улучшить защиту бизнес-процессов, обеспечив соответствие стандартам.
Support

Круглосуточная служба поддержки

Наша служба поддержки поможет с решением любых вопросов, связанных с CVA, будь то пояснение к терминологии или устранение ошибок.
Consulting

Обучение и тренинг команды разработки

LeverX проводит семинары для ABAP-разработчиков и архитекторов, а также организует тренинги по Security by Design в SAP-разработке.
Security

Интеграция с SAP Security

Мы интегрируем SAP CVA в SAP GRC, SAP Enterprise Threat Detection и Converged Cloud Security, обеспечивая проведение проверок в соответствии со стандартами SAP Security Baseline.
Узнайте больше о наших услугах в области решений SAP
leverx
Свяжитесь с нами, чтобы защитить свои данные и бизнес с SAP CVA

Почему LeverX

Обширный опыт

У нас за плечами — более 20 лет опыта работы и 950+ успешных проектов в области SAP для 800+ клиентов, включая компании из списка Fortune 500.

Отраслевые эксперты

Команда LeverX — это специалисты с практическими знаниями в 30+ областях, включая производство, логистику, нефтегазовую промышленность и другие.

Партнерство с SAP

Мы не только внедряем проекты в области SAP под ключ, но и участвуем в разработке и улучшении решений SAP вместе с вендором.

Качество и безопасность

LeverX работает в соответствии с международными стандартами ISO 9001, ISO 27001, ISO 22301 и ISO 55001, что гарантирует надежность и качество реализуемых проектов.

Инвестиции в инновации

Мы активно внедряем передовые технологии, такие как Data Science, IoT, AI, Big Data и Blockchain, чтобы помочь клиентам эффективно решать их бизнес-задачи.

Гибкость разработки

Наша команда на связи 24/7, что позволяет нам быстро развертывать проекты, обеспечивать прозрачность процессов и адаптировать каждый этап разработки под ваши требования.

Карта внедрения SAP CVA

При внедрении SAP Code Vulnerability LeverX придерживается модели Secure Software Development Lifecycle (Secure SDLC). Такой подход включает пять стадий:

Конфигурация → Сканирование → Анализ → Исправление ошибок → Повторное сканирование

Этот цикл повторяется в каждой стадии разработки, обеспечивая непрерывную безопасность кода.

Активация CVA

Убедитесь, что ваша система SAP имеет нужную версию программного обеспечения и другие необходимые инструменты. Затем активируйте проверку безопасности в настройках системы и выберите, какие типы уязвимостей должны быть выявлены. После этого настройте CVA на выполнение проверок вручную или по расписанию.

1

Сканирование кода

Запустите сканирование нужных участков кода с помощью встроенных инструментов SAP или напрямую из вашей среды разработки. Для удобства сканирование можно автоматизировать: оно будет запускаться автоматически при каждом обновлении кода.

2

Интерпретация и анализ результатов

После сканирования результаты группируются по типам уязвимостей, например, XSS-атаки или захардкоженные пароли. Каждый результат показывает, где именно находится проблема, насколько она критична и как ее можно исправить.

3

Устранение уязвимостей

Следуйте рекомендациям SAP для устранения выявленных проблем: 

  • Применяйте безопасные методы программирования;
  • Удаляйте захардкоженные учетные данные;
  • Используйте безопасные практики программирования на ранних этапах разработки;
  • Сделайте регулярные проверки безопасности частью процесса.

4

Повторное сканирование

После внесения исправлений повторно запустите проверку и сравните новые результаты с предыдущими, чтобы отследить прогресс. Ведите журнал обнаруженных проблем — это поможет выявлять повторяющиеся ошибки и повысить качество кода.

5