La integración entre SAP Code Vulnerability Analyzer y SAP Fortify de Micro Focus ya no cuenta con soporte. Esto se debe a la falta de interés por parte de los clientes en la versión piloto.
***
Aunque los ataques cibernéticos se han vuelto cada vez más peligrosos para empresas de todos los tamaños, muchas no están adecuadamente protegidas contra las amenazas de seguridad. En cuanto a la seguridad de las aplicaciones, el objetivo debería ser eliminar vulnerabilidades antes de implementar el software. Para lograr esta seguridad, la garantía debe convertirse en una parte esencial del ciclo de vida de la aplicación de software.
"SAP Code Vulnerability Analyzer", CVA para abreviar, es un producto que realiza análisis estáticos del código fuente ABAP y reporta posibles riesgos de seguridad. CVA está integrado en el ABAP Test Cockpit (ATC), la infraestructura central para verificaciones de código funcional, de rendimiento y de seguridad.
SAP Fortify de Micro Focus es un conjunto de seguridad de software que se puede utilizar para escanear codificación no ABAP. Esto significa que complementa a CVA, que se enfoca en escanear la codificación ABAP.
La mayoría de las soluciones de los clientes comprenden aplicaciones tanto ABAP como no ABAP, y mostrar los resultados en dos entornos diferentes puede ser un desafío. Por lo tanto, idealmente les gustaría mostrar los hallazgos en un solo entorno. Con el lanzamiento de la integración entre CVA y Fortify, los clientes pueden analizar todos los hallazgos en Fortify Software Security Center. Señala la causa raíz de las vulnerabilidades con detalles de la línea de código y orientación para la remediación, y permite priorizar todas las vulnerabilidades de la aplicación por severidad e importancia, todo en el mismo marco.
La integración entre ATC y Fortify está parcialmente implementada en Java y parcialmente en ABAP. La parte de Java está representada por un complemento de Eclipse que contiene un analizador de datos de resultados de ATC. El backend de ATC contiene algo de software escrito en ABAP para extraer y enviar los resultados de ATC al servidor de Fortify.
Requisitos previos:
-
La versión mínima de SAP NetWeaver es 7.52 SP01. Por favor, lea la nota de SAP 2548653 para más detalles.
-
Plugin de análisis de ATC de SAP. El plugin se instala en Fortify SSC (lanzamiento mínimo de Fortify SSC: 17.20). El complemento CVA Fortify SSC está disponible para descargar en el Centro de Software de SAP:
https://launchpad.support.sap.com/#/softwarecenter
-
Una entrada de destino HTTP externa para la aplicación Fortify SSC en SM59 (tipo G)
-
El destino al sistema Fortify SSC (como se configura en SM59) debe registrarse como un "Objetivo de Replicación" en el sistema ATC.
Fig 1 Seleccionar resultados para cargar
Fig 2 Ver detalles de los hallazgos de ATC en Fortify
Licenciamiento y precios
La métrica de CVA se basa en el número de usuarios, es decir, cualquier persona que genere una ejecución de CVA o haga uso de los resultados de una ejecución de CVA. Se vende en bloques de 5 usuarios y hay un límite de 100 usuarios. El código de material es 7016581.
La métrica de Fortify depende de la instalación. Depende del número de aplicaciones donde el cliente quiera ejecutar pruebas de seguridad estáticas o dinámicas. Cada aplicación que brinde parte de la funcionalidad de la aplicación y se pueda implementar por separado, debe contarse como una instalación. El código de material es 7018919.
Documentación y video
Aquí hay un enlace a la documentación sobre este tema:
https://help.sap.com/viewer/DRAFT/ba879a6e2ea04d9bb94c7ccd7cdac446/7.52.1/en-US/c33d5f3cf4f94ff285d6...
Aquí hay un enlace a un video sobre este tema:
https://youtu.be/ttkUsDJeKbs
Contacto: Peter Barker