SAP云平台是SAP数字化战略的重要组成部分。它是我们的客户和合作伙伴向数字化商业模式转型的平台，因此对SAP至关重要。

SAP云平台的安全也是如此！

2011年新年前夜

晚上11:59

德国开发商Robin Seggelmann当时并不知道自己几年后的2014年即将成名。至少在某种意义上……

那是塞格尔曼提交OpenSSL编码的时候，错误地引入了一个后来被描述为"传输层安全"（TLS）中的"灾难性"缺陷。

OpenSSL是一个开源项目。

"但是，嘿，开源软件本身不是更安全吗？审查代码的人越多，代码就越安全！"

塞格尔曼在一次采访中说："不幸的是，它被数以百万计的人所使用，但实际上只有很少的人对此作出贡献。"。还有一只两年多没人注意到的虫子。一个导致"心碎"的错误，影响了全球互联网上的商业用户和私人用户…

这就是为什么我们SAP不仅仅是使用开源软件。

在我们的SAP云平台中，我们非常了解使用开源的好处，新零售企业应用中心，因为我们非常依赖Cloud Foundry。这种战略方法允许开发人员创建新的和创新的基于云铸造的应用程序，运行在SAP云平台上。随着SAP参与Cloud Foundry开源项目、生态系统和社区，很明显，我们也积极为Cloud Foundry的安全做出贡献。

我们以不同的方式做到这一点：

重用知识：提高所用组件的安全级别分享知识：回馈开源社区

正如"Heartbleed"示例所示：开源组件可以像其他软件一样包含漏洞。重用知识的目的是最小化这种风险。在SAP，云产品，我们遵循专业工具支持的方法。它由漏洞评估工具和通知服务组成，提供公开的安全漏洞清单。它由一个程序分析工具进行补充，帮助开发人员识别、评估和缓解Java应用程序开源依赖性中的漏洞。

凭借我们内部拥有的所有专业知识，为开源社区做出贡献是提高Cloud Foundry整体安全级别的另一个关键支柱。根据在CloudFoundry上开发的团队收集的经验，共享知识捆绑了各种各样的活动。他们增强了中央云代工身份管理服务UAA（用户帐户和身份验证），购物领券，人工智能有哪些领域，为企业做好了准备。他们的贡献包括

对战略部分的代码更改作出贡献，例如额外的身份验证流、性能改进和安全漏洞修复报告已发现的漏洞和威胁以及与社区一起发布威胁模型。

不过，使用CloudFoundry for SAP还有一个方面是开源的。它使我们能够在UAA中开发企业级安全功能，而这些功能仍然是SAP的资产。此外，企业软件正版化，我们致力于通过自我保护应用程序实现更高级别的安全性。在运行时，系统能够识别作为输入的信息片段，并与可接受的结构（动态信息流跟踪）进行比较。为此，我们实现了解析器，一旦遇到意外的代码标记，就会拒绝执行代码。

简而言之，我们认为企业软件和开源的结合是一个极好的机会。或者，正如负责产品和创新的SAP执行董事会成员Bernd Leucert所说："我……看到了将两个世界的优点结合起来，以及克服两个世界都面临的挑战的巨大潜力。开源并不等同于免费软件，它更注重社区建设和贡献社区参与。您将参观了解安全如何无缝地融入到SAP云平台的成功中。

更多信息：

Bernd Leukert的博客"开放源代码–不是单行道"

SAP和Cloud Foundry的新闻稿（2014）