Beyond SAP security... - ATC, CVA & Security in 140 tekens

Door Hamid El Hachioui

Beyond SAP security…

Tijdens de TechEd dagen krijg je een overvloed aan informatie en ontmoet je talloze bekende en onbekende mensen die op de een of andere manier betrokken zijn bij SAP. Tijdens deze 3 dagen heb je de gelegenheid om een blik in de (nabije) toekomst te werpen wat betreft alle toepassingen die SAP ontwikkelt. Ik heb niet de illusie dat ik alles gezien heb. In mijn beleving is dit ook onmogelijk, want de agenda van deze 3 dagen is goed gevuld met 900+ sessies.

Wat mij meteen opvalt, als ik de Teched agenda en alle aanwezige standhouders bekijk, is dat je de indruk krijgt dat SAP voor elk enterprise probleem wel een oplossing heeft bedacht.

Als je de agenda goed bekijkt dan valt meteen op dat er niet een specifiek security domein is maar dat security gerelateerde zaken verdeeld zijn over de verschillende SAP domeinen. Het was dan ook even zoeken naar de juiste sessies. Zelf heb ik met name gekeken naar de ontwikkelingen op security gebied in de domeinen van ECC en HANA authorizations en de beschikbare tooling.

In deze blog neem ik je mee in een klein deel van de wereld van, zoals ik het noem: “beyond SAP security...” en focus ik me op de volgende 2 onderwerpen:

1. Security in 140 characters

2. Secure ABAP Development: Best Practices Using SAP Tools

Security in 140 characters

In deze sessie werden we door Frank Koenthopp meegenomen in de wereld van security awareness vanuit een niet dagelijkse point of view. De presentatie die Frank meegenomen had bestond eigenlijk alleen uit screenshots van one-liners en plaatjes van geposte tweets.

Hieronder een aantal van de meest opvallende:

You really need to do security

Doing it small is better than not doing it at all

Stop doing check lists

IoT – That’s one definition

Call to action

People will use your code in ways you didn’t expect.
Make Security part of the process, not a one-time activity! Automate where it works (code scans, dependencies)!
Threat Model & Test otherwise! Lifecycle. Lifecycle! Lifecycle!!

I’ll leave you with that...

Source:

Frank Köhntopp

frank.koehntopp@sap.com

@koehntopp

Mijn take away van deze sessie is niet zozeer dat je een nieuwe tool te zien hebt gekregen maar de awareness wat security nu eigenlijk precies betekent en hoe je dit nog sterker over het voetlicht kan krijgen. Het effect van een onjuiste implementatie van security maatregelen kan dan ook een kostbare aangelegenheid zijn.

Secure ABAP Development: Best Practices Using SAP Tools

Tijdens deze hands-on sessie hebben we gekeken naar de CVA (Code Vulnerability Analysis) add-on. Dit is een add-on die je direct kunt gebruiken om je ABAP code te scannen op security vulnerabilities. Deze add-on wordt ook door SAP intern gebruikt om alle geleverde software te testen op security vulnerabilities. De CVA is onderdeel van de ABAP test cockpit (ATC) en kan integraal gebruikt worden om code op voorhand te testen. ATC is een ABAP check framework voor het uitvoeren van unit testen op ABAP programma’s. Ook kun je ATC volledig integreren in je transport straat en zo QA release checks afdwingen.

Het volgende plaatje illustreert een overzicht van de beschikbare checks.

Bron: SAP NetWeaver Application Server - Add-On for Code Vulnerability Analysis

Enkele voordelen van de ABAP Test Cockpit (ATC) en Code Vulnerability Analyser (CVA) zijn:

Centraal punt voor het analyseren van ABAP code
Volledig geïntegreerd in de ABAP development workbench
Het is niet alleen een check tool maar ondersteunt integraal het QA en regressie test proces.

Als je er goed over nadenkt is security niet iets wat aan het eind van een project komt. Het zou een integraal onderdeel moeten zijn bij elke nieuwe ontwikkeling en/of aanpassing op een bestaande functionaliteit. Alleen dan kun je waarborgen dat je geen vulnerabilities introduceert en zorg je voor awareness gedurende de gehele lifecycle van je software oplossing.

De SAP NetWeaver Application Server, add-on for code vulnerability analysis is beschikbaar op: