Компания «Газинформсервис» представила квартальное обновление SafeERP 4.9.9 — программного комплекса для защиты корпоративных ERP-систем и процессов разработки. Новая версия повышает автоматизацию контроля безопасности SAP и 1С, расширяет покрытие проверок и снижает ручную нагрузку на специалистов по информационной безопасности.

Security Suite: защита SAP-ландшафта

Модуль комплексной защиты SAP (анализ кода ABAP и контроль настроек платформы) получил инструменты для повышения прозрачности контроля и ускорения работы с уязвимостями:

1. Новый раздел «Аудит» — централизованный просмотр логов событий системы SAP ABAP (NetWeaver) в одном месте. Аудит безопасности и расследование инцидентов стали значительно быстрее.
2. Автосоздание задач в Jira — в проектах контроля настроек задачи по уязвимостям формируются автоматически, индикация в окне «Управление уязвимостями» стала нагляднее. Это ускоряет устранение рисков и взаимодействие команд ИБ и ИТ.
3. Сканирование трансформаций — анализ объектов типа «Трансформации» и содержащихся в них транспортных запросов усиливает контроль изменений и снижает риск попадания уязвимостей в рабочую систему.
4. Проверка незавершённых изменений — сканирование транспортных запросов со статусом «Изменяемо» позволяет выявлять уязвимости до их попадания в продуктивную среду.
5. Упрощённый интерфейс SAP Fiori — анализ стандартного кода и деблокированных транспортных запросов объединён в единую вкладку «Объекты сканирования».

Extension Module: полный контроль безопасности 1С

Модуль комплексной защиты 1С (анализ кода и настроек платформы) получил расширенное покрытие проверок и новые инструменты автоматизации:

1. Новые проверки для 1С-кода — добавлены сценарии выявления слабых алгоритмов шифрования, потенциальных SQL-инъекций, отсутствия таймаута при работе с внешними ресурсами и небезопасно заданных путей к сертификатам.
2. Расширение форматов файлов 1С — добавлена поддержка формата .cfu. Теперь SafeERP охватывает все основные форматы: .cf, .cfu, .dt, .epf, .erf и .cfe.
3. Счётчик уязвимостей на дашборде — в проектах «Контроль настроек» общее количество проблем безопасности отображается сразу при открытии. Специалисты мгновенно оценивают состояние защищённости без лишних переходов.
4. Запуск сканирования по расписанию — автоматический анализ безопасности по заданному графику делает контроль регулярным и снижает зависимость от ручных действий.
5. Кнопка «Остановить сканирование» — возможность мгновенно прервать анализ даёт больше контроля и экономит время при работе с крупными проектами.
6. Интеграция DAST в CI/CD — сканирование безопасности приложений автоматически запускается на этапе развёртывания, что помогает выявлять уязвимости на ранних этапах.
7. Новые проверки по ISO 9001:2015 — система автоматически проверяет настройки механизмов контроля, согласования и учёта бизнес-процессов 1С на соответствие стандарту.

Extension Module+: DevSecOps для всего цикла разработки

Модуль инструментов безопасной разработки (SAST, DAST, SCA) расширяет покрытие технологического стека и углубляет интеграцию в процессы CI/CD:

1. Новые проверки для Dockerfile — добавлены сценарии выявления небезопасных настроек SSL/TLS, автоматической установки рекомендуемых пакетов и нестрогих прав на чувствительные точки монтирования.
2. Обновлённый алгоритм сравнения Git-источников — два сценария: сравнение с предыдущей итерацией и выбор произвольного источника с конкретным коммитом. Анализ изменений в репозиториях стал быстрее и удобнее.
3. Шаблоны пользовательских проверок — новые шаблоны для поиска подстрок в комментариях, операторов и объектов в коде позволяют настраивать собственные правила анализа без программирования.
Модульная архитектура — гибкость развития защиты
«В релизе 4.9.9 мы сделали акцент на автоматизации рутинных процессов контроля — от регулярного запуска сканирований по расписанию до автоматического создания задач в Jira. Это позволяет командам ИБ сосредоточиться на реальных рисках, а не на организации процессов», — отмечает Римма Кулешова, менеджер продукта SafeERP компании «Газинформсервис».
Помимо ключевых обновлений в релизе проведён ряд общесистемных доработок, устранены ошибки. Extension Module проходит ежеквартальную проверку совместимости с СУБД Jatoba, другими базами данных и операционными системами. Анализатор кода доработан для совместимости с 1С «Управление холдингом» и 1С БИТ «Финансы».