Программное средство SafeERP предназначено для решения задач информационной безопасности, касающихся защиты информационных систем. Программные решения средств защиты информации наиболее актуальны для компаний, использующих информационные системы как программное обеспечение для реализации своих бизнес-стратегий.
Функции
Анализ кода
Выявление небезопасного состояния программного кода
Перечень потенциально небезопасных конструкций
Code Security
Анализ защищенности
Выявление небезопасного состояния настроек программного обеспечения и средств защиты
Перечень потенциально небезопасных настроек
Platform Security
Контроль целостности программных объектов
Выявление изменений контрольных сумм критичных программных объектов
Оперативная информация об изменении критичных программных объектов
Platform Security
Контроль критичных программных объектов
Выявление случаев доступа к критичным программным объектам, отнесенным к информации ограниченного доступа
Оперативная информация (индикация событий) о наличии доступа к критичным программным объектам
Platform Security
Анализ транспортных запросов
Выявление небезопасного состояния программного кода ABAP, предназначенного для переноса по ландшафту системы
Перечень потенциально небезопасных конструкций
Code Security
Автоматизация процесса управления безопасностью
Применение программных алгоритмов для автоматизации механизмов анализа и контроля защищенности
Анализ и контроль защищенности в режиме реального времени или по заданному расписанию, отчеты и сравнительный анализа итераций проверок
SafeERP
Модули SafeERP *:
- Platform Security — анализ и контроль безопасности настроек программного обеспечения и средств защиты, контроль целостности программных объектов информационных систем SAP NetWeaver на ABAP-стеке, SAP NetWeaver на Java-стеке, SAP Business Objects, SAP HANA.
- Code Security — анализ безопасности программного кода ABAP информационных систем SAP NetWeaver на ABAP-стеке (анализ кода JavaScript и 1С в разработке).
* Версия SafeERP Security Suite включает в себя оба модуля.
Интеграция
Интеграция SafeERP в проверяемые информационные системы осуществляется с помощью программных дополнений:
Серверная часть
Программное дополнение для установки на централизованную систему настройки программного средства, осуществляющее управление сбором данных с проверяемых систем, хранение эталонных значений проверяемых параметров и формирование отчетов
Клиентская часть
Программное дополнение для установки на проверяемую систему, осуществляющее сбор и подготовку данных, передаваемых на сервер управления
Ознакомиться со схемой взаимодействия программных дополнений.
Применение
Информационные системы хранят и обрабатывают конфиденциальные и важные для бизнеса данные, являются платформами для автоматизации и повышения эффективности процессов управления компаниями. Результатом их функционирования становятся документы, информационные массивы, базы данных и информационные услуги. Для предотвращения нарастающих угроз в информационной сфере к информационным системам должны применяться актуальные механизмы защиты.
Применение SafeERP позволяет автоматизировать сбор и обработку защищаемых данных, оптимизировать трудозатраты на мониторинг и анализ событий информационной безопасности.
Преимущества SafeERP
- отечественный продукт;
- интерфейс и описание проверок на русском языке;
- проверка программного кода без выгрузки из информационных систем;
- пополняемая база проверок.
Актуальная версия продукта SafeERP: 4.7.8
Если у вас есть вопросы по продукту, пожалуйста, обратитесь к нашим специалистам.
Программный модуль Code Security предназначен для выявления небезопасного состояния программного кода ABAP в информационных системах на платформе SAP NetWeaver.
Функции
Анализ кода
Выявление небезопасного состояния программного кода
Перечень потенциально небезопасных конструкций
Анализ транспортных запросов
Выявление небезопасного состояния программного кода ABAP, предназначенного для переноса по ландшафту системы
Перечень потенциально небезопасных конструкций
Программный модуль позволяет осуществлять анализ ABAP-кода непосредственно в процессах жизненного цикла программного обеспечения:
Разработка
Выявление небезопасного состояния программного кода на этапе его разработки
Перечень потенциально небезопасных конструкций
Тестирование
Выявление небезопасного состояния программного кода на этапе его квалификационного тестирования
Перечень потенциально небезопасных конструкций
Реализация/эксплуатация
Выявление небезопасного состояния программного кода на этапе инсталляции программного обеспечения или его эксплуатации
Перечень потенциально небезопасных конструкций
Работа с транспортными запросами
Выявление небезопасного состояния программного кода при переносе его по ландшафту системы
Перечень потенциально небезопасных конструкций. Блокировка переноса потенциально небезопасного кода разработки
Анализа программного кода реализуется путем сравнения проверяемого массива данных с шаблонами небезопасных конструкций программного кода, содержащихся в проверочных сценариях.
Code Security позволяет автоматизировать процесс анализа программного кода и выявить в нем небезопасные конструкции по следующим категориям:
Безопасность
Реализовано более 100 сценариев, позволяющих осуществлять проверки программного кода на потенциально небезопасные языковые конструкции:
- вызовы методов ABAP Kernel;
- динамическое выполнение команд;
- динамические вызовы ABAP-кода;
- использование команд DYNPRO;
- использование таблиц базы данных без авторизационных групп;
- критичные системные вызовы;
- критичный доступ к операционной системе;
- критичные запросы к системе управления базой данных;
- межсайтовый скриптинг;
- отсутствие проверки полномочий;
- программные закладки;
- явно заданные проверки;
- SQL–инъекции и др.
Производительность
Реализовано более 75 сценариев, позволяющих осуществлять проверки программного кода на языковые конструкции, которые могут снизить его быстродействие:
- неэффективное использование полей индекса таблиц;
- неэффективное использование команд внутри циклов;
- неэффективные запросы к базе данных;
- неэффективное использование памяти;
- обход буферизированных таблиц и др.
Удобство сопровождения
Реализовано более 90 сценариев, позволяющих осуществлять проверки программного кода на языковые конструкции, которые ухудшают его качество:
- использование текстовых объектов на разных языках;
- ненадлежащее использование псевдокомментариев;
- отсутствие контроля значения переменной sy-subrc после команд;
- процентное соотношение код/комментарии (если количество строк комментариев в тексте кода менее 30%);
- некорректное использование программных алгоритмов;
- явно заданные значения объектов и др.
Интеграция
Интеграция программного модуля Code Security в проверяемые информационные системы осуществляется с помощью программных дополнений серверной и клиентской части. Ознакомиться со схемой взаимодействия программных дополнений.
Применение
Основной причиной инцидентов информационной безопасности становятся ошибки кодирования программного обеспечения, приводящие к уязвимостям программ и систем в целом. Для предотвращения потенциальных угроз, связанных с уязвимостями ПО, к информационным системам необходимо применять актуальные механизмы анализа программного кода.
Применение программного модуля Code Security, как автоматизированного средства сбора и обработки данных, позволит снизить издержки на проверку программного кода информационных систем и минимизировать риски передачи небезопасного программного обеспечения в эксплуатацию.
Преимущества
- соответствие ключевым стандартам и требованиям к качеству разработки;
- быстрая интеграция, отсутствие инфраструктурных затрат (сертифицированный SAP Add-On);
- категоризация потенциальных уязвимостей и возможность их ранжирования;
- интерфейс и описание проверок на русском языке;
- детальное описание потенциальных уязвимостей с примерами эксплуатации;
- проверка программного кода без выгрузки из информационной системы;
- широкие возможности представления отчетов;
- пополняемая база проверок.
Если Вы хотите приобрести данный продукт, пожалуйста, заполните необходимые поля формы заказа и отправьте запрос нашим специалистам.
С Вами обязательно свяжутся в ближайшее время.