A integração entre o SAP Code Vulnerability Analyzer e o SAP Fortify da Micro Focus não conta mais com suporte. Isso se deve à falta de interesse por parte dos clientes na versão piloto.
***
Embora os ataques cibernéticos tenham se tornado cada vez mais perigosos para empresas de todos os tamanhos, muitas não estão adequadamente protegidas contra as ameaças de segurança. Em relação à segurança de aplicações, o objetivo deveria ser eliminar vulnerabilidades antes de implementar o software. Para alcançar essa segurança, a garantia deve se tornar uma parte essencial do ciclo de vida da aplicação de software.
"SAP Code Vulnerability Analyzer", CVA para abreviar, é um produto que realiza análises estáticas do código fonte ABAP e relata possíveis riscos de segurança. O CVA está integrado no ABAP Test Cockpit (ATC), a infraestrutura central para verificações de código funcional, de desempenho e de segurança.
O SAP Fortify da Micro Focus é um conjunto de segurança de software que pode ser usado para escanear codificação não ABAP. Isso significa que complementa o CVA, que se concentra em escanear a codificação ABAP.
A maioria das soluções dos clientes compreende aplicações tanto ABAP quanto não ABAP, e mostrar os resultados em dois ambientes diferentes pode ser um desafio. Portanto, idealmente eles gostariam de mostrar as descobertas em um único ambiente. Com o lançamento da integração entre CVA e Fortify, os clientes podem analisar todas as descobertas no Fortify Software Security Center. Isso aponta a causa raiz das vulnerabilidades com detalhes da linha de código e orientação para a remediação, e permite priorizar todas as vulnerabilidades da aplicação por severidade e importância, tudo no mesmo framework.
A integração entre ATC e Fortify está parcialmente implementada em Java e parcialmente em ABAP. A parte em Java é representada por um plug-in do Eclipse que contém um analisador de dados de resultados do ATC. O backend do ATC contém algum software escrito em ABAP para extrair e enviar os resultados do ATC para o servidor do Fortify.
Requisitos prévios:
-
A versão mínima do SAP NetWeaver é 7.52 SP01. Por favor, leia a nota da SAP 2548653 para mais detalhes.
-
Plugin de análise do ATC da SAP. O plugin é instalado no Fortify SSC (lançamento mínimo do Fortify SSC: 17.20). O plug-in CVA Fortify SSC está disponível para download no Centro de Software da SAP:
https://launchpad.support.sap.com/#/softwarecenter
-
Uma entrada de destino HTTP externa para o aplicativo Fortify SSC em SM59 (tipo G)
-
O destino para o sistema Fortify SSC (como configurado em SM59) deve ser registrado como um "Objetivo de Replicação" no sistema ATC.
Figura 1 Selecionando resultados para upload
Figura 2 Visualizando detalhes das descobertas do ATC no Fortify
Licenciamento e preços
A métrica do CVA é baseada no número de usuários, ou seja, qualquer pessoa que execute o CVA ou utilize os resultados de uma execução do CVA. É vendido em blocos de 5 usuários e há um limite de 100 usuários. O código de material é 7016581.
A métrica do Fortify depende da instalação. Depende do número de aplicações onde o cliente deseja executar testes de segurança estática ou dinâmica. Cada aplicação que forneça parte da funcionalidade da aplicação e possa ser implantada separadamente deve ser contada como uma instalação. O código de material é 7018919.
Documentação e vídeo
Aqui está um link para a documentação sobre este tópico:
https://help.sap.com/viewer/DRAFT/ba879a6e2ea04d9bb94c7ccd7cdac446/7.52.1/en-US/c33d5f3cf4f94ff285d6...
Aqui está um link para um vídeo sobre este tópico:
https://youtu.be/ttkUsDJeKbs
Contato: Peter Barker