{"id":149308,"date":"2025-02-24T07:00:00","date_gmt":"2025-02-24T06:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=149308"},"modified":"2025-02-24T09:21:01","modified_gmt":"2025-02-24T08:21:01","slug":"son-los-desarrollador-sap-jefes-de-defensa","status":"publish","type":"post","link":"https:\/\/e3mag.com\/es\/son-los-desarrollador-sap-jefes-de-defensa\/","title":{"rendered":"\u00bfSon los desarrolladores SAP jefes de defensa?"},"content":{"rendered":"<p>Los desarrolladores de SAP trabajan en entornos empresariales cr\u00edticos integrados y crean software que procesa datos con caracter\u00edsticas de seguridad y requisitos normativos espec\u00edficos.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Papel clave de los promotores<\/h2>\n\n\n\n<p>Los desarrolladores SAP desempe\u00f1an un papel clave en la configuraci\u00f3n del panorama de seguridad de los entornos SAP. El desarrollo de c\u00f3digo para modificar funciones SAP existentes o nuevas aplicaciones e interfaces puede ser un proyecto de desarrollo inform\u00e1tico de cualquier complejidad. Estas personalizaciones son a menudo necesarias, pero pueden contener vulnerabilidades y reducir el nivel de seguridad del sistema global.<\/p>\n\n\n\n<p><br>Muchas vulnerabilidades de seguridad en el entorno SAP se deben a la falta de requisitos, a decisiones incorrectas en el dise\u00f1o del software y la selecci\u00f3n de herramientas y a la falta de conocimientos sobre pr\u00e1cticas de programaci\u00f3n seguras con los lenguajes y marcos de programaci\u00f3n utilizados. Los desarrolladores crean, sin saberlo, m\u00faltiples vulnerabilidades, como el cruce de directorios, las vulnerabilidades de secuencias de comandos en sitios cruzados o los errores de control de acceso. Una sola vulnerabilidad puede exponer datos empresariales confidenciales o permitir que el sistema se vea comprometido por un atacante. En la situaci\u00f3n actual, los desarrolladores crean nuevos riesgos de seguridad adem\u00e1s de los beneficios de su trabajo. Los desarrolladores tienen amplias autorizaciones. Con amplios derechos de acceso, los desarrolladores pueden introducir inadvertida o maliciosamente puertas traseras, manipular datos cr\u00edticos o eludir los controles de seguridad. A d\u00eda de hoy, las listas de comprobaci\u00f3n de las autorizaciones de transporte no suelen incluir una comprobaci\u00f3n de defectos de seguridad o malware.<\/p>\n\n\n\n<p>Si no se aplica la segregaci\u00f3n de funciones y los desarrolladores tienen acceso sin restricciones a los entornos de desarrollo, prueba y producci\u00f3n, resulta especialmente interesante para los atacantes explotar estos accesos. Fuera del mundo SAP, el perfil de un desarrollador SAP se describir\u00eda como un desarrollador full-stack. En contraste con front-end y back-end, esto se refiere a los programadores que realizan una aplicaci\u00f3n de forma independiente con la pila tecnol\u00f3gica disponible, desde la interfaz de usuario y las integraciones hasta la l\u00f3gica empresarial.<\/p>\n\n\n\n<p>En combinaci\u00f3n con su conocimiento de los procesos, los desarrolladores de SAP utilizan la caja de herramientas de SAP para ofrecer miles de mejoras y personalizaciones cada d\u00eda, proporcionando a los clientes de SAP un enorme potencial de innovaci\u00f3n y ventajas competitivas. La caja de herramientas de SAP est\u00e1 creciendo y a menudo se espera que los desarrolladores de SAP dominen toda la gama, desde el mantenimiento de una aplicaci\u00f3n SAP GUI heredada hasta el uso de elementos de Fiori y todo lo que hay entre medias. Cada uno de estos teclados tiene caracter\u00edsticas de seguridad individuales que los desarrolladores de SAP deben tener en cuenta al utilizarlos para evitar vulnerabilidades e implementar correctamente los requisitos de seguridad.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Aprendizaje fatal<\/h2>\n\n\n\n<p>Rara vez se puede dedicar tiempo y recursos a esto: suele prevalecer una mentalidad de \"aprender haciendo\", con las consecuencias que ello conlleva. \"Nunca habr\u00eda pensado en un formato de entrega de software al o\u00edr el t\u00e9rmino 'transporte'\", afirma el arquitecto de seguridad de software de un banco. A menudo, el resto de operaciones de TI y seguridad de la informaci\u00f3n desconocen por completo la frecuencia y el alcance del desarrollo de software que utiliza tecnolog\u00edas SAP como plataforma de aplicaci\u00f3n. Un arquitecto de software de un cliente lo describi\u00f3 una vez como el \"elefante oculto\" de su pr\u00e1ctica de desarrollo de software. <\/p>\n\n\n\n<p>Sin embargo, tambi\u00e9n ocurre que las iniciativas para controlar los procesos de desarrollo de software o mejorar la calidad y la seguridad no incluyen el desarrollo SAP y que los procesos y herramientas definidos a tal efecto no son aplicables al desarrollo SAP o lo son s\u00f3lo parcialmente. Los errores en los desarrollos a medida y los complementos pueden causar problemas de seguridad considerables. Como todo lenguaje de programaci\u00f3n, Abap y compa\u00f1\u00eda tambi\u00e9n tienen caracter\u00edsticas espec\u00edficas que los desarrolladores deben tener en cuenta.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Patr\u00f3n de error Abap<\/h2>\n\n\n\n<p>De las docenas de revisiones de c\u00f3digo que he realizado en los \u00faltimos diez a\u00f1os, destacan especialmente los siguientes patrones de error:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Insuficiente validaci\u00f3n de entradas que conducen a vulnerabilidades de cruce de directorios, inyecci\u00f3n SQL o inyecci\u00f3n de c\u00f3digo. Esto da lugar directa o indirectamente a la posibilidad de comprometer por completo un sistema SAP. Esto se debe a menudo a la falta de conocimiento sobre las caracter\u00edsticas de seguridad del marco o API utilizado.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Errores en el dise\u00f1o y la aplicaci\u00f3n de los controles de acceso, como la falta de comprobaciones de autorizaci\u00f3n o comprobaciones l\u00f3gicamente incorrectas y una insuficiente separaci\u00f3n de funciones en el dise\u00f1o del almacenamiento o el tratamiento y la visualizaci\u00f3n de los datos. Esto puede dar lugar a una fuga de informaci\u00f3n confidencial o a que \u00e9sta se vea comprometida a nivel de transacci\u00f3n.<\/li>\n\n\n\n<li>Dise\u00f1os de integraci\u00f3n inseguros que, en \u00faltima instancia, dan lugar a oportunidades de comprometer sistemas SAP productivos desde, por ejemplo, entornos de prueba y desarrollo o permiten otras formas de ataques de falsificaci\u00f3n de solicitudes del lado del servidor.<\/li>\n\n\n\n<li>No se limpian las herramientas obsoletas y, por lo general, ya no pertinentes, ni las copias de aplicaciones SAP est\u00e1ndar en las que se han eliminado las funciones de seguridad o nunca se han aplicado las correcciones de vulnerabilidades de SAP. <\/li>\n<\/ul>\n\n\n\n<p>Utilice \"transacci\u00f3n de llamada\" s\u00f3lo con la opci\u00f3n \"con comprobaci\u00f3n de autoridad\" (extracto de una directriz de desarrollo t\u00edpicamente mala).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Paradigma del n\u00facleo limpio<\/h2>\n\n\n\n<p>Incluso en el mundo SAP, la seguridad del software necesita directrices claras en combinaci\u00f3n con un apoyo adecuado a los desarrolladores para poder cumplirlas. Las iniciativas de calidad y seguridad del c\u00f3digo suelen fracasar por esto \u00faltimo. Ni la introducci\u00f3n de an\u00e1lisis de c\u00f3digo fuente mejorados en comparaci\u00f3n con las herramientas est\u00e1ndar ni las prohibiciones en las directrices de desarrollo har\u00e1n que los desarrolladores de SAP tomen conciencia de la seguridad y de la experiencia necesaria en soluciones.<\/p>\n\n\n\n<p>Una formaci\u00f3n adecuada y unos folletos sensatos en forma de instrucciones son la base del cambio cultural necesario para que otras medidas y herramientas tambi\u00e9n surtan efecto. Pero, \u00bfpuede un desarrollador SAP que utilice el paradigma \"Clean Core\" y herramientas como SAP Build y Joule seguir causando graves problemas de seguridad en el futuro? \"Clean Core\" propaga la separaci\u00f3n de las extensiones y la funcionalidad central. Adem\u00e1s del objetivo ego\u00edsta de poder migrar mejor a los clientes existentes a los servicios en la nube de SAP y familiarizarlos con ellos, los riesgos operativos durante las actualizaciones y migraciones se reducen significativamente cuando se utilizan correctamente.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Cerrar los defectos de seguridad<\/h2>\n\n\n\n<p>El uso de SAP Business Technology Platform (BTP) tiene como resultado una separaci\u00f3n m\u00e1s estricta de la extensi\u00f3n propia del cliente del est\u00e1ndar SAP. Si se implementa bien, los posibles efectos de las vulnerabilidades t\u00edpicas mencionadas anteriormente pueden reducirse o contenerse en gran medida, o pueden excluirse determinados defectos de seguridad, como las vulnerabilidades de traspaso de directorios. Las exigencias sobre la capacidad del desarrollador para implementar correctamente la seguridad y convertir los dise\u00f1os originalmente orientados a las transacciones en una arquitectura de microservicios son considerables. Los desarrolladores de SAP son ahora tambi\u00e9n responsables de otras tareas de seguridad, como la creaci\u00f3n de roles, la aplicaci\u00f3n de nuevos conceptos para el registro de aplicaciones y la comprobaci\u00f3n de componentes de software y bibliotecas dependientes en busca de malware y vulnerabilidades.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">La verdad est\u00e1 en el c\u00f3digo<\/h2>\n\n\n\n<p>En el modelo operativo cl\u00e1sico de SAP, estas son las tareas del administrador b\u00e1sico y de autorizaci\u00f3n. Con la programaci\u00f3n nativa de la nube, tambi\u00e9n hay nuevos escenarios de amenazas a los que el desarrollador de SAP tiene que hacer frente. Por ejemplo, una denegaci\u00f3n de servicio econ\u00f3mica (EDoS), en la que se hace un uso indebido de la aplicaci\u00f3n para utilizar los servicios y recursos de la nube hasta tal punto que no se pueden asumir los costes o se desactivan los servicios al alcanzar los valores m\u00e1ximos de consumo.<\/p>\n\n\n\n<p>Deben comprender la caja de herramientas SAP disponible con sus funciones de seguridad y deben ser capaces de dominar conceptos para el an\u00e1lisis de seguridad de aplicaciones de software, as\u00ed como crear modelos de amenazas e implementar contramedidas. Esto convierte al desarrollador SAP en un actor central y controlador de la seguridad inform\u00e1tica de su entorno SAP.<\/p>\n\n\n\n<p>En resumen, puede decirse que tanto las aplicaciones SAP nativas en la nube como las cl\u00e1sicas, ya sean desarrolladas por el cliente o por terceros, deben ser cuidadosamente comprobadas en cuanto a vulnerabilidades y cumplimiento de las normas de seguridad. El papel del desarrollador SAP est\u00e1 cambiando cada vez m\u00e1s, de implementador de requisitos funcionales a consultor que encuentra soluciones innovadoras, tiene en cuenta la seguridad y la protecci\u00f3n de los datos, as\u00ed como los requisitos de seguridad para el funcionamiento y la prestaci\u00f3n de su aplicaci\u00f3n desde el principio y examina su adecuada implementaci\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Comprender la caja de herramientas SAP<\/h2>\n\n\n\n<p>Deben comprender la caja de herramientas SAP disponible con sus funciones de seguridad y deben ser capaces de dominar conceptos para el an\u00e1lisis de seguridad de aplicaciones de software, as\u00ed como crear modelos de amenazas e implementar contramedidas. Esto convierte al desarrollador SAP en un actor central y controlador de la seguridad inform\u00e1tica de su entorno SAP.<\/p>","protected":false},"excerpt":{"rendered":"<p>El papel de los desarrolladores SAP en relaci\u00f3n con la seguridad de los sistemas de software es similar al de otros programadores de software. Sin embargo, difiere en cuanto a las competencias requeridas y el impacto potencial.<\/p>","protected":false},"author":5641,"featured_media":149309,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[44088,44093],"tags":[453,39870,1516],"coauthors":[44094],"class_list":["post-149308","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-mag-25-03","category-steampunk","tag-abap","tag-btp-bdc","tag-security","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"<p>Die Rolle von SAP-Entwicklern in Bezug auf die Sicherheit von Softwaresystemen \u00e4hnelt der anderer Softwareprogrammierer. In Bezug auf die damit verbundenen n\u00f6tigen F\u00e4higkeiten und die m\u00f6glichen Auswirkungen unterscheidet sie sich jedoch.<\/p>\n","category_list_v2":"<a href=\"https:\/\/e3mag.com\/es\/categoria\/mag-25-03\/\" rel=\"category tag\">MAG 25-03<\/a>, <a href=\"https:\/\/e3mag.com\/es\/categoria\/steampunk\/\" rel=\"category tag\">Steampunk und BTP Summit<\/a>","author_info_v2":{"name":"Marco Hammel, No Monkey","url":"https:\/\/e3mag.com\/es\/author\/marco-hammel\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/149308","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/5641"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=149308"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/149308\/revisions"}],"predecessor-version":[{"id":149312,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/149308\/revisions\/149312"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/149309"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=149308"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=149308"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=149308"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=149308"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}