SAP SE 是企业软件和软件相关服务领域的收入领导者。为了保持这一地位,SAP 致力于提供最高质量的软件解决方案。这意味着,不仅要确保应用程序按预期运行,还要将风险和安全管理集成到他们的 Idea2Market (I2M) 过程中。Micro Focus Fortify 是此过程中的关键要素。从 2012年开始,SAP已使用Fortify 对大约 1.78 亿行关键 Java 代码执行了静态分析。
SAP 的产品安全策略要求在产品开发期间进行静态代码分析,以帮助确保所有应用程序都能保障安全且在面对网络威胁时具备恢复能力,从而保护客户和公司自身免受软件故障、知识产权丢失或损坏或业务中断带来的财务损失。
SAP 选择了相应的行业领导者Micro Focus,如今已将 Fortify 软件完全集成到其开发生命周期中。
面临挑战
“我估计,我们有大约 8000 万行唯一Java 代码,此外,由于我们需要维护许多应用程序的较旧版本,因此我们通常会多次扫描指定的产品。当然,我们始终会扫描最新版本;但只要发现需要修复的内容,我们就需要考虑有多少旧版本同样需要修复。”
——SAP 的TIP 安全性、工程卓越和教育部门
代码分析团队经理 Uwe Sodan
解决方案
Fortify 实际应用
在 SAP,使用 Java、C#、JSP 以及许多其他编程语言编写的应用程序的静态代码分析在设计和实施过程中都借助了Fortify 的力量,这些分析基于Fortify Software Security Center (SSC) 和Fortify Static Code Analyzer (SCA) 解决方案。
Fortify Software Security Center 可确保软件(无论是针对桌面、移动还是云构建的软件)符合内部和外部安全要求,从而帮助组织管理安全风险。凭借先进的静态和动态安全测试功能以及用于主动安全管理的集成框架,Fortify SSC 可帮助识别和缓解开发过程和旧式应用程序以及整个软件开发生命周期内的风险。虽然 SAP的开发组较为散,但该公司可以在 Fortify SSC 内合并和跟踪所有结果。
Fortify Static Code Analyzer 是 Fortify SSC 解决方案的一部分,使用屡获殊荣的静态分析在源代码中提供深入的漏洞检测。Fortify SCA 可查明源代码中安全漏洞的根本原因,按风险严重性对结果划分优先级,并提供有关如何修复漏洞的详细代码行指导。Fortify SCA帮助组织确保其软件值得信赖,降低查找和修复应用程序漏洞的成本,并为安全编码最佳实践奠定基础。
“SAP 有一个负责产品安全标准的中心小组,我们的产品安全战略旨在使我们的分散开发团队能够通过集中指导来创建安全产品;集中收集、维护、记录和部署的非功能性要求中均包含安全要求。我们的测试举措贯穿于整个开发生命周期之中,静态分析属于强制要求。因此,Fortify 软件是我们业务取得成功的基石。”
—— Uwe Sodan
Micro Focus Services 提供的支持是整个解决方案的重要组成部分。
“两年来,我们充分利用了现场常驻顾问的专业知识,这给我们提供了莫大的帮助,他们指导我的团队了解 Fortify 软件,不仅包括工具本身,也包括相关流程。”
—— Uwe Sodan
优点
在被问及最重视该软件的哪些方面时, Sodan 提到了许多积极的功能。
“一方面,它拥有非常出色的安全保障,它还在 Fortify Software Security Center 中提供了对我们至关重要的协作功能。我们需要一个中央基础设施,以便存储所有扫描结果,从而保护数据并控制对数据的访问;同时,我们希望适当地部署该基础设施,以便不同的开发团队可以轻松处理结果。Fortify 软件非常适合我们的开发模式。”
“另一个显著优势是,我们能够配置 Fortify 软件以满足特定客户需求。这包括对结果进行排序和划分优先级,以及进行调整,使用自定义规则功能,我们可以创建自己的规则并修改工具的行为,使其适应我们的专有库、界面、平台和框架。”
由于开发人员效率是 SAP 的主要目标之一,因此Fortify 解决方案包含了大量 SAP 自定义规则和修复建议。Sodan 补充指出,那些说明了如何解读结果的优秀文档以及有关修复漏洞的详细指导进一步增强了Fortify 软件在 SAP 开发环境中的价值。
“使用 Fortify 软件的一个驱动因素是, 我们需要遵守 SAP 的产品标准安全要求。所有软件都必须避免跨站脚本攻击、SQL 注入、路径遍历、内存损坏、 XML 实体、缓冲区溢出等,我们通常还会提到 OWASP 10 大漏洞和 CWE/SANS 25 大漏洞。这是我们使用静态分析涵盖的范围,任何SAP 产品都必须避免这些漏洞。我们依靠 Fortify 软件来帮助我们满足这些严格的要求,保护我们的客户和公司品牌。”
—— Uwe Sodan
即使威胁变得更加复杂和具有针对性,静态代码分析也使 SAP 能够在漏洞被利用之前识别和缓解漏洞,从而保持领先地位。
及早修复
SAP 已将 Fortify 软件完全集成到其开发生命周期中,虽然硬指标尚不为人知, 但成本优势显而易见。
“代价最高昂的修复情景是:一个缺陷完全进入了生产环境,而我们在客户或外部安全专家报告时才得知相关区情况,根据不同的研究,在已发布的软件中修复漏洞的成本与在开发生命周期中修复漏洞的成本比值大约是 100:1。正因如此,我们认为必须尽早检查代码。”
—— Uwe Sodan
SAP 的近千名开发人员是活跃的 Fortify 软件用户。“并非每个 Java 开发人员都在使用该软件,但每个开发团队中至少有一到两名开发人员在使用,”Sodan 解释道。适用于 Fortify SCA 的 Eclipse 插件在此环境中特别有用。“此插件使开发人员能够执行即时检查,以便他们可以直接在过程中改进代码,我还很欣赏该插件和中央服务器之间的集成;一旦人们了解其工作原理,就可以直接在正常开发环境中使用扫描结果。这很棒。”
SAP 拥有全面的安全响应反馈过程。外部报告的任何潜在漏洞均作为安全响应过程的一部分进行修复;然后,另一个反馈步骤会分析漏洞模式以确定是否可以使用静态分析检测它。如果答案是 “是”,并且受影响的代码采用了 Java 或 SAP 将 Fortify 用于的其他语言之一, 则根本原因分析将调查此漏洞是否尚未在扫描范围内,或是否需要对工具进行 某些调整。此反馈过程使 SAP 能够持续调整和优化其对 Fortify 软件的使用。
“考虑到 Fortify 涵盖的不同编程语言数量,以及与漏洞类型或模式相对应的不同检查类别数量,我认为该解决方案相当完善,Fortify 软件对于实现我们的产品安全战略非常重要,因为它帮助我们在开发生命周期早期检测漏洞。这对我们至关重要,因为我们越早发现漏洞,就越能有效地修复它们。我可以肯定地说,Fortify 软件帮助 SAP 创建了更安全的代码。”
—— Uwe Sodan
成果斐然
Fortify 通过其增强的应用程序安全性,保护 SAP 及其客户免遭与软件相关的财务损失、业务中断和对公司品牌的损害。此外,由于他们可以在软件开发生命周期的早期发现和补救漏洞,因此也降低了修复成本。而且,由于能够对新应用程序和以前的版本高效地执行静态分析,SAP 迄今已扫描了超过 1.78 亿行代码。
通过实施 Fortify,还加强了 SAP 开发人员的技能并改进了开发过程。通过深入培训 Fortify 软件工具和流程,开发人员对安全编码实践的认识得到了显著增强。Fortify 的 Eclipse 插件有助于在代码开发期间进行即时安全检查。Fortify 还提供了有关修复已识别漏洞的详细代码行指导。此外,SAP 还可以自定义 Fortify 软件以满足特定客户需求。协助开展试用项目和产品自定义的专业现场咨询是成功实施的关键。
关注Micro Focus,随时接收前沿信息:
猛戳下方
了解更多信息
1550
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
