Risiken im Kundencode auf der Spur
![[shutterstock.com:558399481, alphaspirit]](https://e3mag.com/wp-content/uploads/2017/09/shutterstock_558399481.jpg)
Steht das SAP-System still, stehen viele Prozesse im Unternehmen. So lässt sich die Situation bei Trumpf beschreiben, einem weltweit führenden Anbieter von Werkzeugmaschinen, Laser und Elektronik für industrielle Anwendungen.
Denn der Hochtechnologie-Konzern mit Hauptsitz in Ditzingen nahe Stuttgart betreibt sein zentrales SAP-ERP-System mit nur einem Mandanten – und zwar über alle internationalen Produktions- und Entwicklungsstandorte sowie einen Großteil der Vertriebsorganisationen hinweg.
Mehrere interne Initiativen
Um eine hohe Zuverlässigkeit des SAP-Systembetriebs zu erreichen, startete Trumpf mehrere interne Initiativen, unter anderem zur Harmonisierung der SAP-Berechtigungsrollen (SAP SafeT) sowie zur Professionalisierung der Software-Entwicklung.
Bis dahin vorwiegend projektbezogen an Dienstleister ausgelagert, wurde die IT-Anwendungsentwicklung dabei in einer unternehmenseigenen Organisationseinheit zusammengefasst und standardisiert.
Dazu baute Trumpf verstärkt interne Entwicklerkapazitäten auf, die von strategischen Partnern langfristig in unterschiedlichen Entwicklungsprojekten unterstützt werden.
Eine dritte Initiative umfasste die Einführung der Change-Management-Lösung Conigma CCM von Galileo, um der Forderung der Wirtschaftsprüfer nach einer besseren Nachvollziehbarkeit von Änderungen am SAP-System nachzukommen.
Bei diesen Projekten wurde deutlich, dass ein Werkzeug für automatische Quellcode-Scans unverzichtbar war. Die IT-Verantwortlichen bei Trumpf entschieden sich für den Virtual Forge CodeProfiler, von dessen Qualität sie sich bereits bei einem initialen Code-Scan überzeugt hatten.
Dabei hatte das Analyse-Tool hochkritische Schwachstellen im Kundencode des zentralen SAP-Systems aufgespürt. Diese könnten potenziellen Angreifern Einfallstore bieten, um schlimmstenfalls die Anwendung komplett stillzulegen. Die Einführung des CodeProfilers verlief nach einem klar strukturierten Fahrplan und dauerte nur vier Tage.
SAP-Berechtigungen überprüft
Beim SAP-SafeT-Projekt zur Harmonisierung der SAP-Berechtigungsrollen setzte Trumpf den CodeProfiler ein, um automatisch zu prüfen, ob auch die Abap-Eigenentwicklungen die erforderlichen Berechtigungsprüfungen enthalten.
Mit diesem Analyse-Werkzeug kann dies deutlich schneller, einfacher und gründlicher als mit manuellen Kontrollen umgesetzt werden. Dabei wird sichergestellt, dass keine unbefugten Mitarbeiter auf SAP-Daten zugreifen und damit eventuell Missbrauch betreiben können.
Bei der Software-Entwicklung dient der CodeProfiler dazu, die Qualität und Sicherheit des kundeneigenen Abap-Codes zu prüfen. Die Basis dafür bilden Entwicklungsrichtlinien, die Trumpf größtenteils aus den CodeProfiler-Testfällen abgeleitet hat. Denn es macht wenig Sinn, den Programmierern bestimmte Vorgaben zu machen, wenn nicht automatisiert kontrolliert werden kann, ob diese auch tatsächlich eingehalten werden.
Technische Freigabe von Änderungen
Im Zusammenspiel mit dem Change-Management-Werkzeug Conigma CCM von Galileo wird der CodeProfiler eingesetzt, um Änderungen am SAP-System auf ihre technische Korrektheit zu überprüfen.
Trumpf nutzt Conigma, um die Änderungen beim Transport vom Entwicklungs- ins Test- und Produktivsystem durchgängig steuern und verwalten zu können.
Ziel ist es, die Change-Management-Prozesse revisionssicher zu machen. So bietet Conigma einen Freigabe-Workflow, der von den Anforderungen über Änderungen bis zu den ausgerollten Funktionen reicht.
Der CodeProfiler von Virtual Forge wurde in Conigma integriert, damit automatisch kontrolliert werden kann, ob bei den Quellcode-Änderungen die Entwicklungsrichtlinien eingehalten wurden.
Obwohl Conigma eine vorgefertigte CodeProfiler-Integration anbietet, entschieden sich die IT-Verantwortlichen bei Trumpf für eine indirekte Einbindung über das Abap Test Cockpit (ATC) von SAP.
Dabei handelt es sich um eine im SAP-Standard ausgelieferte Testsuite, die verschiedene statische Code-Analysewerkzeuge zur Verfügung stellt. Ausschlaggebend für die ATC-Nutzung war, dass sich Trumpf nicht den Weg für künftige SAP-Entwicklungen in diesem Bereich verbauen wollte – angesichts der neuen Funktionen in NetWeaver 7.5x eine gute Wahl.
Durch die ATC-Integration in Conigma ist es möglich, innerhalb des Prozesses für die Änderungsanforderung eine ATC-Prüfung durchzuführen und in Abhängigkeit vom Ergebnis den weiteren Ablauf zu steuern.
Sind Prio-1-Findings enthalten, kann der Transport vom Entwicklungs- ins Testsystem zunächst unterbunden werden. Aktuell ist es den Entwicklern möglich, manuell gegenzusteuern und auch die Prio-1-Findings freizugeben.
Künftig will Trumpf jedoch den ATC-Befreiungsbrowser nutzen. Damit lässt sich automatisch prüfen, ob es Prio-1-Findings gibt, die entweder entfernt oder über den ATC-Befreiungsbrowser genehmigt werden müssen. Der nachgelagerte manuelle Freigabeschritt soll sich dann auf organisatorische und formale Fragen beschränken.
Weniger Zeit, mehr Sicherheit
Durch den Einsatz des CodeProfilers für die technische Abnahme der Änderungen am Abap-Kundencode spart Trumpf erheblichen Zeitaufwand. Während die Entwickler für die Sichtung einer Änderung früher fünf bis zehn Minuten benötigten, brauchen sie heute nur noch rund 30 Sekunden, um sich ein ATC-Prüfergebnis anzeigen zu lassen.
Da jeden Tag zwischen zehn und 15 Änderungen geprüft und freigegeben werden müssen, ist der Zeitvorteil immens. Außerdem gibt der Einsatz des Code-Analysewerkzeugs den Trumpf-Entwicklern das gute Gefühl, bei ihren Freigaben keine Fehler im Bereich Security und Compliance übersehen zu haben.
Da alle Änderungen an den Abap-Eigenentwicklungen systematisch überprüft werden, können sich die IT-Verantwortlichen sicher sein, dass sich die Zahl kritischer Codestellen nicht erhöht.
Im nächsten Schritt will Trumpf weitere Testfälle in die Code-Analysen integrieren, allen voran Hana-Findings. Damit soll sichergestellt werden, dass im neuen Coding keine Konstrukte eingebaut werden, die zwar auf einer klassischen Datenbank, aber nicht mit der zukunftsweisenden Hana-Technologie funktionieren.
