Aprende en Comunidad
Avalados por :
Integração entre o Analisador de Vulnerabilidades do Código SAP e o SAP Fortify da Micro Focus: Atualização de Suporte e Licenciamento
- Creado 01/03/2024
- Modificado 01/03/2024
- 0 Vistas
0
Cargando...
A integração entre o SAP Code Vulnerability Analyzer e o SAP Fortify da Micro Focus não conta mais com suporte. Isso se deve à falta de interesse por parte dos clientes na versão piloto.
***
Embora os ataques cibernéticos tenham se tornado cada vez mais perigosos para empresas de todos os tamanhos, muitas não estão adequadamente protegidas contra as ameaças de segurança. Em relação à segurança de aplicações, o objetivo deveria ser eliminar vulnerabilidades antes de implementar o software. Para alcançar essa segurança, a garantia deve se tornar uma parte essencial do ciclo de vida da aplicação de software.
"SAP Code Vulnerability Analyzer", CVA para abreviar, é um produto que realiza análises estáticas do código fonte ABAP e relata possíveis riscos de segurança. O CVA está integrado no ABAP Test Cockpit (ATC), a infraestrutura central para verificações de código funcional, de desempenho e de segurança.
O SAP Fortify da Micro Focus é um conjunto de segurança de software que pode ser usado para escanear codificação não ABAP. Isso significa que complementa o CVA, que se concentra em escanear a codificação ABAP.
A maioria das soluções dos clientes compreende aplicações tanto ABAP quanto não ABAP, e mostrar os resultados em dois ambientes diferentes pode ser um desafio. Portanto, idealmente eles gostariam de mostrar as descobertas em um único ambiente. Com o lançamento da integração entre CVA e Fortify, os clientes podem analisar todas as descobertas no Fortify Software Security Center. Isso aponta a causa raiz das vulnerabilidades com detalhes da linha de código e orientação para a remediação, e permite priorizar todas as vulnerabilidades da aplicação por severidade e importância, tudo no mesmo framework.
A integração entre ATC e Fortify está parcialmente implementada em Java e parcialmente em ABAP. A parte em Java é representada por um plug-in do Eclipse que contém um analisador de dados de resultados do ATC. O backend do ATC contém algum software escrito em ABAP para extrair e enviar os resultados do ATC para o servidor do Fortify.
Figura 1 Selecionando resultados para upload
Figura 2 Visualizando detalhes das descobertas do ATC no Fortify
***
Embora os ataques cibernéticos tenham se tornado cada vez mais perigosos para empresas de todos os tamanhos, muitas não estão adequadamente protegidas contra as ameaças de segurança. Em relação à segurança de aplicações, o objetivo deveria ser eliminar vulnerabilidades antes de implementar o software. Para alcançar essa segurança, a garantia deve se tornar uma parte essencial do ciclo de vida da aplicação de software.
"SAP Code Vulnerability Analyzer", CVA para abreviar, é um produto que realiza análises estáticas do código fonte ABAP e relata possíveis riscos de segurança. O CVA está integrado no ABAP Test Cockpit (ATC), a infraestrutura central para verificações de código funcional, de desempenho e de segurança.
O SAP Fortify da Micro Focus é um conjunto de segurança de software que pode ser usado para escanear codificação não ABAP. Isso significa que complementa o CVA, que se concentra em escanear a codificação ABAP.
A maioria das soluções dos clientes compreende aplicações tanto ABAP quanto não ABAP, e mostrar os resultados em dois ambientes diferentes pode ser um desafio. Portanto, idealmente eles gostariam de mostrar as descobertas em um único ambiente. Com o lançamento da integração entre CVA e Fortify, os clientes podem analisar todas as descobertas no Fortify Software Security Center. Isso aponta a causa raiz das vulnerabilidades com detalhes da linha de código e orientação para a remediação, e permite priorizar todas as vulnerabilidades da aplicação por severidade e importância, tudo no mesmo framework.
A integração entre ATC e Fortify está parcialmente implementada em Java e parcialmente em ABAP. A parte em Java é representada por um plug-in do Eclipse que contém um analisador de dados de resultados do ATC. O backend do ATC contém algum software escrito em ABAP para extrair e enviar os resultados do ATC para o servidor do Fortify.
Requisitos prévios:
- A versão mínima do SAP NetWeaver é 7.52 SP01. Por favor, leia a nota da SAP 2548653 para mais detalhes.
- Plugin de análise do ATC da SAP. O plugin é instalado no Fortify SSC (lançamento mínimo do Fortify SSC: 17.20). O plug-in CVA Fortify SSC está disponível para download no Centro de Software da SAP: https://launchpad.support.sap.com/#/softwarecenter
- Uma entrada de destino HTTP externa para o aplicativo Fortify SSC em SM59 (tipo G)
- O destino para o sistema Fortify SSC (como configurado em SM59) deve ser registrado como um "Objetivo de Replicação" no sistema ATC.
Figura 1 Selecionando resultados para upload
Figura 2 Visualizando detalhes das descobertas do ATC no Fortify
Licenciamento e preços
A métrica do CVA é baseada no número de usuários, ou seja, qualquer pessoa que execute o CVA ou utilize os resultados de uma execução do CVA. É vendido em blocos de 5 usuários e há um limite de 100 usuários. O código de material é 7016581. A métrica do Fortify depende da instalação. Depende do número de aplicações onde o cliente deseja executar testes de segurança estática ou dinâmica. Cada aplicação que forneça parte da funcionalidade da aplicação e possa ser implantada separadamente deve ser contada como uma instalação. O código de material é 7018919.Documentação e vídeo
Aqui está um link para a documentação sobre este tópico: https://help.sap.com/viewer/DRAFT/ba879a6e2ea04d9bb94c7ccd7cdac446/7.52.1/en-US/c33d5f3cf4f94ff285d6... Aqui está um link para um vídeo sobre este tópico: https://youtu.be/ttkUsDJeKbs Contato: Peter Barker
Pedro Pascal
Se unió el 07/03/2018
Facebook
Twitter
Pinterest
Telegram
Linkedin
Whatsapp
Sin respuestas
No hay respuestas para mostrar
Se el primero en responder
contacto@primeinstitute.com
(+51) 1641 9379
(+57) 1489 6964
© 2024 Copyright. Todos los derechos reservados.
Desarrollado por Prime Institute
Hola ¿Puedo ayudarte?