
SAP Code Vulnerability Analyzer (SAP CVA)
Обеспечьте безопасность и совместимость ABAP-кода на ранних стадиях разработки.



Связаться с нами
Заполните форму ниже, и мы свяжемся с вами в кратчайшие сроки.
Важность безопасности в ABAP-разработке
Индивидуальная разработка ABAP-кода открывает уникальные возможности модернизации вашей SAP-системы. Но без тщательной проверки безопасности даже качественный код может обернуться серьезными рисками: утечкой данных, уязвимостями, финансовыми потерями и оттоком клиентов. Все это делает проверку кода жизненно необходимой для бесперебойной работы и успеха бизнеса в целом.
SAP Code Vulnerability Analyzer (SAP CVA) — это инструмент для статического анализа кода, который проверяет клиентский код на наличие уязвимостей. SAP CVA сканирует поток ABAP-кода без его выполнения и подсвечивает потенциально опасные конструкции. Это дает IT-командам возможность своевременно исправить ошибки и устранить уязвимости задолго до релиза готовой версии.
LeverX — стратегический поставщик решений SAP и SAP Gold Partner — предлагает профессиональные услуги по внедрению SAP CVA. Наши эксперты адаптируют решение под особенности вашего проекта, обеспечив защиту данных и плавную работу ABAP-приложений.
Преимущества SAP CVA для вашего бизнеса
Раннее распознавание уязвимостей
Уменьшение ложных срабатываний
Соответствие и безопасность
Снижение расходов
Отчетность и прозрачность
Интеграция с решениями SAP
Ключевые особенности SAP Code Vulnerability Analyzer
Статический анализ кода
- Обнаружение SQL-инъекций и межсайтового скриптинга (XSS)
- Выявление отсутствующих или некорректных проверок авторизации
- Защита паролей и другой конфиденциальной информации
Технические возможности SAP Code Vulnerability Analyzer
SAP CVA помогает повысить безопасность вашей SAP-системы благодаря сканированию и анализу различных элементов кода с помощью современных технологий.
Предмет сканирования
Исходный ABAP-код
- Пользовательские программы, разработанные на ABAP
- Функциональные модули, классы и методы
- Отчеты и include-файлы
Приложения ABAP Web Dynpro
- UI-компоненты и обработчики событий
- Логика валидации ввода
Бизнес-дополнения (BAdI) и пользовательские расширения (user exits)
- Пользовательские улучшения и расширения
- Код, написанный в рамках SAP Enhancement Frameworks
Формы и скрипты
- Логика в Smart Forms и SAPscript
- Обработка динамических данных и операций ввода/вывода
Код доступа к данным
- Операторы SELECT, INSERT, UPDATE и DELETE
- Динамический SQL и команды Open SQL
Логика авторизации
- Операторы authority-check
- Проверка ролей и прав доступа
Удаленные вызовы функций (RFC)
- Взаимодействие кода с внешними системами
- Валидация параметров и обработка данных в функциях с поддержкой RFC
Конструкции динамического программирования
- Операторы EXECUTE, ASSIGN и CALL METHOD
- Код с динамическим выполнением или манипуляцией переменными
Интерфейсы и вызовы API
- Взаимодействие кода с API SAP или сторонних систем
- Проверка входных и выходных данных в интерфейсах
Работа с постоянными и временными данными
- Логика работы с файлами (например, OPEN DATASET и др.)
- Использование временных таблиц и управление памятью
Методики анализа
Статический анализ кода
- Анализирует исходный код без его выполнения
- Выявляет уязвимости, такие как SQL-инъекции, XSS и захардкоженные учетные данные
Анализ потока данных
- Отслеживает, как данные проходят через код
- Обнаруживает небезопасную обработку пользовательского ввода или конфиденциальных данных
- Помогает выявлять точки инъекций и «загрязненные» пути данных
Анализ потока управления
- Анализирует пути выполнения кода
- Выявляет логические ошибки или обходы проверок авторизации
Сопоставление с шаблонами
- Использует заранее заданные шаблоны уязвимостей (например, рискованные вызовы функций)
- Отмечает код, соответствующий известным небезопасным практикам программирования
Контекстно-чувствительный анализ
- Учитывает контекст использования оператора
- Позволяет избежать ложных срабатываний, понимая логику окружающего кода
Межпроцедурный анализ
- Анализирует код между методами, функциями и программами
- Выявляет уязвимости, охватывающие несколько модулей кода
Семантический анализ
- Понимает смысл и намерение операторов кода
- Проверяет, насколько логично реализованы проверки авторизации и ввода
Анализ проверок авторизации
- Проверяет наличие и корректность операторов AUTHORITY-CHECK
- Обеспечивает реализацию надлежащего ролевого контроля доступа
Анализ на основе правил
- Использует предопределенные SAP и пользовательские правила безопасности
- Может быть расширен или адаптирован под внутренние политики безопасности
Интеграция с ATC (ABAP Test Cockpit)
- Использует инфраструктуру ATC для проверки кода
- Обеспечивает стандартизированную и централизованную валидацию безопасности в проектах
Как мы можем помочь

Внедрение и конфигурация

Сканирование кода и оценка уязвимостей

Круглосуточная служба поддержки

Обучение и тренинг команды разработки

Интеграция с SAP Security
Отрасли, с которыми мы работаем
Почему LeverX
Обширный опыт
Отраслевые эксперты
Партнерство с SAP
Качество и безопасность
Инвестиции в инновации
Гибкость разработки
Карта внедрения SAP CVA
При внедрении SAP Code Vulnerability LeverX придерживается модели Secure Software Development Lifecycle (Secure SDLC). Такой подход включает пять стадий:
Конфигурация → Сканирование → Анализ → Исправление ошибок → Повторное сканирование
Этот цикл повторяется в каждой стадии разработки, обеспечивая непрерывную безопасность кода.
Активация CVA
1
Сканирование кода
2
Интерпретация и анализ результатов
3
Устранение уязвимостей
Следуйте рекомендациям SAP для устранения выявленных проблем:
- Применяйте безопасные методы программирования;
- Удаляйте захардкоженные учетные данные;
- Используйте безопасные практики программирования на ранних этапах разработки;
- Сделайте регулярные проверки безопасности частью процесса.
4
Повторное сканирование
5
FAQ
По умолчанию SAP CVA включен в SAP NetWeaver AS ABAP версии 7.02 и выше, и отдельная покупка лицензии не требуется. Но для использования некоторых расширенных функций может потребоваться дополнительная настройка или назначение ролей — зависит от конфигурации системы в каждом отдельном случае.
SAP Code Vulnerability Analyzer выявляет широкий спектр уязвимостей в коде, включая:
- SQL-инъекции;
- Межсайтовый скриптинг (XSS);
- Отсутствующие или некорректные проверки авторизации;
- Опасный доступ к файловой системе;
- Захардкоженные учетные данные и утечки конфиденциальной информации.
SAP CVA совместим со следующими системами:
- SAP NetWeaver AS ABAP 7.02 и выше (локально);
- SAP S/4HANA (все версии со встроенным NetWeaver);
- SAP BTP ABAP Environment (для облачной разработки).
Contact Us
What happens next?
-
1
An expert will reach out to you to discuss your specific migration needs and requirements.
-
2
We'll sign an NDA to ensure any sensitive information is kept secure and confidential.
-
3
We'll work with you to prepare a customized proposal based on the project's scope, timeline, and budget.
years of expertise
projects
professionals
Contact Us