SAP客户一直与SAP合作伙伴和ISV合作，通过客户直接从SAP合作伙伴处获得许可的第三方ABAP附加组件来增强其SAP环境。这些第三方ABAP附加组件的安全性在许可过程中越来越成为人们感兴趣的话题。首席信息官或项目经理有一个长长的检查清单，他们总是把安全放在首位，作为解决方案提供商，合作伙伴总是被问到："您的附加组件安全吗？SAP是否对其进行了评估？"

为了帮助合作伙伴解决这个问题，SAP集成和认证中心（SAP ICC）为合作伙伴通过SAP ICC认证的任何ABAP插件引入了可选服务ABAP安全代码扫描。

SAP ABAP安全代码扫描将使用SAP工具CVA（代码漏洞分析器）扫描代码库，报告问题并提出纠正方案。这旨在支持合作伙伴在将其加载项部署到客户环境之前对其进行故障排除。但是，最终客户和合作伙伴将始终需要在客户的个人环境中再次验证附加组件，以便进行全面尽职调查。

以下是SAP ICC将帮助合作伙伴在实验室环境中测试的一些细节。CVA将涵盖以下软件安全方面：

操作动态开放SQL（开放SQL注入）SQL语句的操作（本机SQL注入）动态生成的ABAP代码的操作（ABAP命令注入）动态调用中的操作（调用注入）注入操作系统命令对目录和文件的潜在未授权访问（目录遍历）绕过用户管理的授权检查不足潜在的后门使用Web技术的可能攻击进一步检查

CVA作为ABAP插件的专用工具，具有以下优点：

高效扫描

通过数据流分析降低假阳性率。直接从ABAP开发环境中扫描，带有广泛的预定义检查

开发人员指南

所有错误的详细帮助和解释，物联网是什么，帮助找到正确的修复位置检查的优先顺序。CVA将按优先级1、优先级2和优先级3报告问题。

集成

集成到标准ABAP检查框架、SAP传输系统和ABAP测试驾驶舱（ATC）

SAP CVA报告运行将取决于SAP作为标准交付的变体。以下是SAP ERP和SAP S/4HANA内部部署的变体。

SAP NetWeaver版本7.50 SP3（SAP ECC 6.0或更高版本）

扩展程序检查（SLIN）中的安全分析批判性陈述找到具体的关键陈述SELECT中的动态和特定于客户端的访问动态和客户特定的评估与插入，更新，修改，删除ADBC接口的使用客户端特定的共享对象方法

SAP S/4HANA内部部署1809或更高版本

DDIC:DB表（日志检查）ABAP（CVA）安全检查BSP（CVA）的安全检查批判性陈述找到具体的关键陈述SELECT中的动态和特定于客户端的访问动态和客户特定的评估与插入，更新，修改，删除ADBC接口的使用客户端特定的共享对象方法无效访问CDS视图

对于仔细阅读认证的合作伙伴，由于您需要纠正和缓解CVA报告的优先级1和2问题，轻云，强烈建议您在使用AAK组装代码和开始部署认证之前先完成ABAP安全代码扫描。这种方式将尽可能防止重新工作的发生。

为了启动SAP ABAP安全代码扫描，以下是要执行的主要活动：

合作伙伴需要联系SAP ICC以启动服务合同SAP ICC顾问将安排启动会议，平销返利，返利联盟，以说明评估过程并激活CVA许可证SAP ICC顾问将为合作伙伴提供一本食谱，并提供运行报告的分步指南要求合作伙伴纠正和缓解报告的优先事项1和2问题运行CVA报告作为最终运行，淘客app原生，以验证结果

作为SAP ABAP安全代码扫描的可交付结果，SAP ICC将发布评估报告，并在CSD（Certified Solution Directory）上标记此成就以及您的ABAP部署认证。

SAP ICC联系信息：icc-info@sap.com

有用链接

SAP note 1855773–针对客户特定ABAP程序的安全检查

代码漏洞分析器