Best Practice Leitfaden Development - DSAG

Weitere Magazine

Empfehlungen

Info

32 5 aBaP-siCHerHeit und CoMPLianCe ein elementarer Baustein der itGC ist das Änderungswesen (Change Management), zu dem wiederum eigenentwicklungen zählen. sicherheitsdefekte im selbstgeschriebenen aBaP-Code stellen eine Verletzung der generellen it-Kontrollen dar und erschüttern damit die Grundmauern jedes internen Kontrollsystems. abbildung 3: iKs-risiken durch unsicheren aBaP-Code dies bedeutet insbesondere, dass sicherheitsdefekte im aBaP-Code potenziell nicht nur auswirkungen auf Compliance-standards haben, sondern auch gesetzliche anforderungen verletzen können. alle in abbildung 1 dargestellten sicherheitsdefekte sind daher auch Compliance-relevant. 5.4 testWerKzeuGe Für aBaP-sicherheitstests eigenen sich insbesondere sogenannte statische Codeanalyse-tools. es gibt hier verschiedene kommerzielle anbieter, die in wesentlichen Bereichen die Möglichkeiten des Code inspectors erweitern: > analyse des saP-standard-Codings, insbesondere von aPi-aufrufen > sehr hohe scan-Geschwindigkeiten für Continuous Monitoring > Globale daten- und Kontrollflussanalysen, da diese für die meisten sicherheitstests elementar sind. > umfangreiche Beschreibungen des Problems mit Lösungsvorschlägen > Hinreichende testabdeckung (oWasP top 10 und sans 25 reichen nicht, da überwiegend Web-spezifisch und auf aBaP kaum anwendbar) > 4-augen-Prinzip bei ausnahmen
natürlich muss so ein tool hinreichend in se80, tMs und CharM integriert sein, damit die entwickler damit arbeiten können und wollen. 5.5 WeiterFÜHrende QueLLen: 1. andreas Wiegenstein, Markus schumacher, sebastian schinzel, Frederik Weidemann, sichere aBaP Programmierung, saP Press 2009 2. Maxim Chuprunov , Handbuch saP-revision, saP Press 2011 3. BizeC - the Business application initiative (http://bizec.org) 33 Best Practice Leitfaden deveLoPment, 31. Januar 2013, © dsaG e. v.
Seite 1 und 2: Best Practice Leitfaden Development
Seite 3 und 4: autoren > Peter Lintner, senior Con
Seite 5 und 6: 4.4.1 unvollständige Falluntersche
Seite 7 und 8: 1 einLeitunG saP-software zeichnet
Seite 9 und 10: BEST PRACTICE: Wir empfehlen ausdr
Seite 11 und 12: Vorteil: > deutliche steigerung der
Seite 13 und 14: 2.6 Feste CodierunG: Keine „MaGiC
Seite 15 und 16: 3 PerForManCe in den folgenden absc
Seite 17 und 18: 3.4 datenModeLL und datenzuGriFF 3.
Seite 19 und 20: dort den durchschnittswert im aBaP
Seite 21 und 22: zeile der tabelle als schlüssel ve
Seite 23 und 24: 4.1.3 Klassenbasierte ausnahmen sei
Seite 25 und 26: dabei stehen folgende Möglichkeite
Seite 27 und 28: Bei iF-abfragen ist darauf zu achte
Seite 29 und 30: 5.1.3 nachvollziehbarkeit (C) die m
Seite 31: id schwachstelle Beschreibung std a
Seite 35 und 36: 6.2 doKuMentation Von entWiCKLunGso
Seite 37 und 38: einfache Änderung *Write: lw_mara-
Seite 39 und 40: obustheit Vorteil: das unternehmen
Seite 41 und 42: Wann und wie sollte geprüft werden
Seite 43 und 44: 7.3.2 zeit und Budget Qa um die zei
Seite 45 und 46: die entwicklungssprache in der entw
Seite 47 und 48: 8.1.4 Produktion im Produktionssyst
Seite 49 und 50: ‚Vorabtransporte’ sollten nur m
Seite 51 und 52: Beispiel: der einkäufer benötigt
Seite 53 und 54: user-exit user-exits sind unterprog
Seite 55 und 56: die entscheidung Modifikation vs. z
Seite 57 und 58: 9 die autoren die folgenden autoren
Seite 59 und 60: die art(a) des includes angegeben:
Seite 61 und 62: 10.6 enHanCeMents typ Konvention Be
Seite 63 und 64: objektorientierte Programmierung: e

Best Practice Leitfaden Development - DSAG

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?