Безопасная ABAP-разработка в SAP

[amok]

Что касается разработки многие упускают даже самое основное.

[amok]

Что касается разработки многие упускают даже самое основное.

[chdan]

спасибо, как раз хотел дать эту ссылку. Это очень хорошая документация, доступна также в транзакции ABAPDOCU

[Armann]

Компания SAP гарантирует качество кода в своих приложениях благодаря ручному аудиту поставляемого кода

Ой, правда? Давно ли SAP это делает? В том числе гарантирует и для нот, которые поставляются например для российского аддона? Вы бы воздержались от таких категоричных заявлений, а то здесь же и SAP-консультанты есть

Например, использование оператора CALL TRANSACTION (который массово используется разработчиками) на проектах с разграничением доступа на уровне транзакций является небезопасным. Без указания WITH AUTHORITY-CHECK

Уточните пожалуйста, в каком году SAP настолько озаботился безопасностью CALL TRANSACTION, что позволил обходиться без ФМа AUTHORITY_CHECK_TCODE и добавил «WITH AUTHORITY-CHECK»?

В целом же: такой ресурс как хабр предполагает более технический уклон статей — т.е. конкретные примеры уязвимостей и конкретные же рекомендации по их выявлению и недопущению. А здесь же видим маркетинговый буллшит в стиле 'SAP — это круто', где за пример с натяжкой может сойти разве что CALL TRANSACTION (с учетом того что WITH AUTHORITY-CHECK добавили только в версии 740)

[Dementor]

Этой статьей мы хотели показать, что вопросы безопасности продуктов SAP намного более широки, чем это зачастую представляется нашим клиентам.

Т.е. и так все хреново выглядит, а вы признаетесь что в действительности все еще хуже? Я не являюсь вашим сотрудником, но вижу вашу систему у некоторых из клиентов. И что-то я не замечал счастья на их лицах.

Меня очень шокировало общение с одной бухгалтершей, которая отвечает за финансовую отчетность (в том числе и IFRS). Пока она пыталась формировать отчеты, у нее выскакивали одна системная ошибка за другой. Техническая поддержка откровенно издевается и, не смотря на предоставленные 100% сценарии воспроизведения проблем, и скриншоты, за долгие месяцы (!) ничего не смогли сделать. Видимо боятся увязнуть в переписке с индусами из саппорта или их пугают счета за исправление «пустяковых» багов. Это у вас называется «качество кода с ручным аудитом»??? Я бы на вашем месте такой глючный продукт постыдился бы людям показывать, не то что за него сумасшедшие деньги драть.

Или свежий пример с прошлой недели. Мы помогали нашему клиенту настроить обмен файлами с поставщиком. При этом обмен должен проходить именно по протоколу SFTP с использованием ключей. Что бы от поставщика получить файлы, нужно поднять SFTP службу на хосте нашего клиента и положить публичный ключик поставщика. А что бы выгружать файлы поставщику нужно уже себе сгенерировать пару ключей и публичный ключик передать для авторизации на уже ихнем SFTP-сервере. Вопросы саппорту поставщика «а почему так через Ж..., зачем два отдельных сервера и нельзя ли чтение/запись сделать через один ресурс?» намертво разбиваются об ответ — «у нас SAP и он может только так работать».

Вы можете сразу найти тысячи оправданий — типа это какие-то нищеброды и раз у вас купили систему, то нужно быть готовыми регулярно отстегивать за её сопровождение 100500 денег, а не пытаться экономить. Но именно такая слава идет о вас и вашем продукте в народе. Думайте. Возможно все таки стоит больше внимания уделять вашему хваленному качеству, а не писать на хабре маркетинговые статьи о том, что у вас все хорошо.

[Alexeyslav]

Ошибки, скорей всего, возникают не в стандартных отчетах а кастомизированных под клиента. Где-то что-то не учли, недопроверили и имеем что имеем…
У нас был случай — вылетает отчет с ошибкой… ага, кто-то в поле где должно быть число вставил звездочку, случайно или нет но факт. В программе при попытке сравнить это поле как число вываливалась ошибка конвертации текста в число.
Не знаю как по сравнению с 1С но у нас вот переходят с SAP на частное решение под названием СФЕРА-5, так там ужас еще больше, после этого SAP со своим АБАП-ом кажется идеальным решением.