Upload
vuongcong
View
222
Download
2
Embed Size (px)
Citation preview
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Dr. Markus Schumacher
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Risiken im ABAP-Code zuverlässig und
schnell aufdecken & dokumentieren
Peter Werner
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
AGENDA
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Live-Demonstration
ABAP-Code-Scan mit Virtual Forge CodeProfiler
Virtual Forge CodeProfiler 3.2 - das neue Release
Neue Features & Functions (u.a. neue Testgruppen & Testfälle, erweiterte
Konfigurationsmöglichkeiten)
Highlight: Data Loss Prevention (DLP)
Einblicke in die Entwicklungsplanung / Roadmap 2012+
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
AGENDA
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Live-Demonstration
ABAP-Code-Scan mit Virtual Forge CodeProfiler
Virtual Forge CodeProfiler 3.2 - das neue Release
Neue Features & Functions (u.a. neue Testgruppen & Testfälle, erweiterte
Konfigurationsmöglichkeiten)
Highlight: Data Loss Prevention (DLP)
Einblicke in die Entwicklungsplanung / Roadmap 2012+
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Live-Demonstration
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
AGENDA
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Live-Demonstration
ABAP-Code-Scan mit Virtual Forge CodeProfiler
Virtual Forge CodeProfiler 3.2 - das neue Release
Neue Features & Functions (u.a. neue Testgruppen & Testfälle, erweiterte
Konfigurationsmöglichkeiten)
Highlight: Data Loss Prevention (DLP)
Einblicke in die Entwicklungsplanung / Roadmap 2012+
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Statische Analyse von ABAPTM-Code auf Basis von Daten- und
Kontrollflüssen
Testbereiche: Sicherheit, Compliance, Performance, Wartbarkeit, Robustheit,
Data Loss Prevention
Zuverlässige und schnelle Prüfung auch von umfangreichen Anwendungen
Prüfung von bis zu 6.000 Zeilen ABAP-Code pro Sekunde
Prüfung von mehreren hundert Millionen Zeilen Code in einem Durchgang möglich
Auslieferung von 119 Testfällen mit Release 3.2 sowie kontinuierliche
Entwicklung neuer Testfälle
Hohe Qualität der Ergebnisse durch Daten- und Kontrollflussanalyse sowie
ergänzende Plausibilitätsprüfungen
Trefferquote von > 95 % in Projekten
Priorisierung der Ergebnisse durch automatische Bewertung von Risiken
Virtual Forge CodeProfiler 3.2
Ein Überblick
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Bewährte Lösung für das automatisierte Testen von ABAPTM-Code
Ausführliche Dokumentation gefundener Schwachstellen – vom Executive
Summary bis hin zur Beschreibung technischer Details
Vollständige Integrierbarkeit in die SAP®-Entwicklungsumgebung (SE80) sowie
das SAP-Änderungs- und Transportwesen
SAP Transport Management System
SAP Solution Manager Change Request Management
Integration in Partnerlösungen (z.B. REALTECH theGuard!, IBM Rational
AppScan Source Edition) möglich
Virtual Forge CodeProfiler 3.2
Ein Überblick
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
AGENDA
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Live-Demonstration
ABAP-Code-Scan mit Virtual Forge CodeProfiler
Virtual Forge CodeProfiler 3.2 - das neue Release
Neue Features & Functions (u.a. neue Testgruppen & Testfälle, erweiterte
Konfigurationsmöglichkeiten)
Highlight: Data Loss Prevention (DLP)
Einblicke in die Entwicklungsplanung / Roadmap 2012+
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Neue Testgruppen für Basel II und EuroSOX
Erweiterung der Möglichkeiten zum Einsatz von Virtual Forge CodeProfiler bei
internen IT-Audits oder im Rahmen von Wirtschaftsprüfungen
Neue Testfälle
Sicherheit (11)
Compliance (1)
Wartbarkeit (3)
Performance (1)
Robustheit (1)
Data Loss Prevention (2*)
Neue Funktionen & Features
Neue Testfälle
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Neue Funktionen & Features
Test Case Customizing
Test Case Konfigurierungsmöglichkeiten
Mitigation Funktionen
Kritische Transaktionen
Kritische Tabellen
Data Loss Prevention (DLP)
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Mitigation Funktionen
Für Datenflusstestfälle können Funktionen und Methoden definiert
werden, die Schwachstellen aufheben (Customized Mitigation),
d.h. dass diese Schwachstellen als Information-Finding oder nicht
mehr ausgegeben werden
Default Customizing für SAP Standard Funktionen. Beispiel:
CL_ABAP_DYN_PRG=>QUOTE (7.02)
FILE_VALIDATE_NAME (7.02)
Kundenspezifisches Einstellungen
Berücksichtigung beliebiger Kunden-Funktionen oder -Methoden
Neue Funktionen & Features
Mitigation Funktionen
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Kritische Transaktionen und Tabellen
Die Definition kritischer Transaktionen und Tabellen beeinflusst
den Impact von Findings in relevanten Testfällen, wie z.B.
„Missing Authority-Check before CALL TRANSACTION“ oder SQL
Injection
Default Customizing für SAP Standard Tabellen und
Transaktionen
Festlegung des Zugriffes: Lesen / Schreiben
Festlegung des Business Impacts: Sehr hoch oder niedrig
Ziel: Reduktion von False Positives
Neue Funktionen & Features
Kritische Transaktionen und Tabellen
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Data Loss Prevention (DLP)
Neue Funktionen & Features
Data Loss Prevention (DLP)
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Data Loss Prevention (DLP)
Im Bereich Data Loss Prevention kann über statische Analyse von
ABAPTM-Code auf Basis von Daten- und Kontrollflüssen geprüft
werden, ob kritische Daten den Kontrollbereich des SAP®-
Systems verlassen
Definition kritischer Daten
Default Customizing für verschiedene kritische Tabellen bzw. Spalten
PA0002 Critical HR Table (Infotype 0002 - Personal Data)
Kundenspezifische kritische Tabellen bzw. Spalten
Neue Funktionen & Features
Data Loss Prevention (DLP)
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Beispiel:
Data Loss Prevention (DLP)
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
DDIC-Integration (Data Dictionary)
Berücksichtigung der Informationen zu Variablentypen für die
Bewertung der Angriffsmöglichkeit
Optimierung der statischen Code-Analyse bei Security-Testfällen
Berücksichtigung der Typisierung und Variablen-Längen
Ziel: Reduktion von False Positives
Virtual Forge CodeProfiler 3.2
Neue Funktionen & Features
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
AGENDA
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Live-Demonstration
ABAP-Code-Scan mit Virtual Forge CodeProfiler
Virtual Forge CodeProfiler 3.2 - das neue Release
Neue Features & Functions (u.a. neue Testgruppen & Testfälle, erweiterte
Konfigurationsmöglichkeiten)
Highlight: Data Loss Prevention (DLP)
Einblicke in die Entwicklungsplanung / Roadmap 2012+
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Virtual Forge CodeProfiler
2.1
Q4/2010
Virtual Forge CodeProfiler Roadmap
Full SAP Integration
• Introduction of Finding
Manager
• Change and Transport
Management (KTM / TMS /
CTS / CTS+ / ChaRM)
Escalation Management
Extended Coverage of Data
Sources
Engine Improvements
New Test Cases
Improved Performance
Reduction of False Positive Rate
New Test Domains:
• Maintainability
• Robustness
• Performance
Extractor Optimization
Engine Improvements
New Test Cases
3.0
Q2/2011
3.1
Q4/2011
Naming Conventions
New, improved Risk Rating
Support for High-Availability
Scanning Scenarios
Certification: Ready for IBM
Rational
Support for User-Exits, BAdIs
and Enhancement Points, Modul
Pools and MVC Style BSPs,
ABAPTM Macros
Engine Improvements
New Test Cases
• Test Case Group SOX
This presentation and Virtual Forge‘s strategy and possible future developments are subject to change and may be changed
by Virtual Forge at any time for any reason without notice. This document is provided without a warranty of any kind.
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Virtual Forge CodeProfiler
3.2
Q2 / 2012
Virtual Forge CodeProfiler Roadmap
Enhanced Finding-Management
Support for New ABAP
Language Patterns
DDIC Performance
Enterprise Architecture I
New Test Case Group:
PCI Compliance
Engine Improvements
New Test Cases - Focus Areas:
• Performance
• Maintainability
Customer-Configurable
Mitigation Functions for Dataflow
Test Cases
Customer-Configurable critical
tables for Data Loss Prevention
DDIC-Integration (Reduction of
False Positive Rate)
New Test Case Groups:
• Basel II Compliance
• EuroSOX Compliance
Engine Improvements
New Test Cases
3.3
Q4/2012
3.4
Q2/2013
Performance Workbench
Reference Scan
Customer Specific Test Cases
Enterprise Architecture II
Engine Improvements
New Test Cases
This presentation and Virtual Forge‘s strategy and possible future developments are subject to change and may be changed
by Virtual Forge at any time for any reason without notice. This document is provided without a warranty of any kind.
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
The information in this presentation is confidential and proprietary to Virtual Forge
and may not be disclosed without the permission of Virtual Forge. This
presentation and Virtual Forge‘s strategy and possible future developments are
subject to change and may be changed by Virtual Forge at any time for any reason
without notice. The information in this document is not a commitment, promise or
legal obligation to deliver any material, code or functionality. It is provided without a
warranty of any kind. This document is for informational purposes and may not be
incorporated into a contract. Virtual Forge assumes no responsibility for errors or
omissions in this document.
Legal Disclaimer
© 2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
TITEL bearbeiten
© 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved. © 2012 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Disclaimer
© 2012 Virtual Forge GmbH. All rights reserved.
SAP, ABAP und weitere im Text erwähnte SAP-Produkte und –Dienstleistungen sowie die entsprechenden
Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und anderen Ländern weltweit. Alle
anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen. Die Angaben im Text
sind unverbindlich und dienen lediglich zu Informationszwecken
In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. Die
vorliegenden Angaben werden von Virtual Forge bereitgestellt und dienen ausschließlich Informationszwecken.
Virtual Forge über nimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständigkeiten in dieser
Publikation. Aus den in dieser Publikation enthaltenen Informationen ergibt sich keine weiterführende Haftung.
Es gelten die Allgemeinen Geschäftsbedingungen von Virtual Forge – einsehbar auf www.virtualforge.com.