CodeProfiler for ABAP bei der Krones AG

ABAP-Code-Scans für mehr SAP-Sicherheit

| Autor / Redakteur: Sibylle Hofmeyer / Peter Schmitz

Die Krones AG ist ein international führender Hersteller in der Verpackungs- und Abfülltechnik und entwickelt das konzernweite SAP-System immer wieder durch Eigenprogrammierungen weiter.
Die Krones AG ist ein international führender Hersteller in der Verpackungs- und Abfülltechnik und entwickelt das konzernweite SAP-System immer wieder durch Eigenprogrammierungen weiter. (Bild: Krones AG)

Um Sicherheitslücken in SAP-Eigenentwicklungen systematisch aufspüren und Fehler korrigieren zu können, führte die Krones AG trotz anfänglicher interner Bedenken automatische Codeprüfungen ein. Nach zweijähriger Einsatzzeit zieht der Maschinen- und Anlagenbauer eine positive Bilanz.

Als international führender Hersteller in der Verpackungs- und Abfülltechnik ist Krones einem hohen Qualitätsanspruch verpflichtet, der mit Spezialwissen, hohen Aufwendungen in Forschung und Entwicklung, einer Fertigung mit modernsten Anlagen sowie weltweiten Rund-um-die-Uhr-Services umgesetzt wird. Das konzernweite SAP-System bildet das digitale Rückgrat des Unternehmens. Um den individuellen Anforderungen der Fachanwender zu entsprechen, wird der SAP-Standard immer wieder durch Eigenprogrammierungen ergänzt, die in einer zentralen Entwicklungsabteilung durchgeführt werden. Die Anforderungen werden durch einen ITIL-basierten Change-Release-Prozess geführt.

Um Sicherheitslücken in den SAP-Eigenentwicklungen systematisch aufspüren und Fehler korrigieren zu können, planten die IT-Verantwortlichen bei Krones, ein Werkzeug für automatische Code-Scans einzuführen – und stießen zunächst auf Skepsis bei den Entscheidungsträgern. „Sie fürchteten den finanziellen und zeitlichen Aufwand für die Implementierung und Pflege des Analyse-Werkzeugs“, erinnert sich Markus Gradl, Technology Engineer SAP Development bei Krones. „Doch wir überzeugten sie, dass diese Kosten in keinem Verhältnis zu den Schäden stehen, die durch SAP-Datenverluste entstehen können.“

Wie sich DevOps zu DevSecOps entwickelt

Cyber-Sicherheit in Code

Wie sich DevOps zu DevSecOps entwickelt

02.10.17 - DevSecOps ist ein neuer Ansatz zur Gewährleistung kontinuierlicher Cyber-Sicherheit bei der Entwicklung von Software nach dem DevOps-Paradigma. Damit wappnen sich innovative Entwicklungsschmieden gegen mögliche Angriffe. Die Herausforderungen sind enorm; schlüsselfertige Lösungen unzuverlässig. lesen

Pilotprojekt mit überraschenden Ergebnissen

Um einen Eindruck von der Wirksamkeit automatischer Code-Analysen zu erhalten, führte Krones im Jahr 2015 in einem Pilotprojekt den Virtual Forge CodeProfiler for ABAP ein. Installation, Konfiguration und der erste Scan an einem ausgewählten SAP-Entwicklungssystem beanspruchten insgesamt nur wenige Stunden – und erbrachten erstaunliche Ergebnisse: Durch die hohe Zahl an eigenentwickelten Code-Zeilen – 6 Millionen – wurden überdurchschnittlich viele Code-Schwachstellen ausgemacht. Durch diese Ergebnisse wurden die Entscheidungsträger bei Krones von der Notwendigkeit IT-gestützter Analysen des ABAP-Kundencodes überzeugt.

Zu Beginn waren auch die Entwickler zurückhaltend: Sie befürchteten, dass die eigentliche Programmierung dadurch länger dauern würde und sie selbst bei ihrer Arbeit verstärkter Kontrolle ausgesetzt wären. „Zunächst mussten wir viel Überzeugungsarbeit leisten, dass der CodeProfiler ein Werkzeug für die Entwickler ist, nicht gegen sie“, unterstreicht Markus Gradl. Darüber hinaus startete man damit, dass nicht alle voreingestellten Auswirkungen der Testfälle, sondern nur die Security-Testfälle übernommen wurden. Ebenso konzentrierten sich die Projektverantwortlichen auf die Testfälle für die Mandatory-Auswirkung, die nicht allzu häufig auftreten und mit relativ geringem Aufwand zu korrigieren sind.

Fester Bestandteil im Entwicklungsprozess

Technology Engineer SAP Development bei Krones: „Während sich die Gesamtzahl der Fundstellen mit Schwachstellen seit 2015 stark verringert hat, stieg die Menge an eigenentwickeltem ABAP-Code in diesem Zeitraum um 11 Prozent. Dies zeigt, dass wir mit dem CodeProfiler auf dem richtigen Weg sind.“
Technology Engineer SAP Development bei Krones: „Während sich die Gesamtzahl der Fundstellen mit Schwachstellen seit 2015 stark verringert hat, stieg die Menge an eigenentwickeltem ABAP-Code in diesem Zeitraum um 11 Prozent. Dies zeigt, dass wir mit dem CodeProfiler auf dem richtigen Weg sind.“ (Bild: Krones AG)

Zwei Jahre nach seiner Einführung ist der CodeProfiler ein fester Bestandteil im Entwicklungsprozess bei Krones. Er wird direkt im SAP-Transportmanagement eingesetzt und bei der Freigabe eines Transports ins Qualitätssicherungssystem ausgeführt. Durch den Scan bei jeder Code-Änderung wird vermieden, dass am Ende eines Projekts so viele Korrekturen auflaufen, dass diese aufgrund des Zeitdrucks nicht mehr durchgeführt werden können. Zusätzlich erfolgt jeden zweiten Monat ein vollständiger Scan des kundeneigenen ABAP-Codes, um die aktuellen Kennzahlen zu ermitteln und intern zu veröffentlichen.

Und genau diese Kennzahlen belegen heute, wie erfolgreich der Einsatz des Tools bei Krones ist. Ausschlaggebend dafür sind die absolute Zahl an Fundstellen und die Zahl an Fundstellen je 1.000 Code-Zeilen. Dazu Markus Gradl: „Während sich die Gesamtzahl der Fundstellen mit Schwachstellen seit 2015 stark verringert hat, stieg die Menge an eigenentwickeltem ABAP-Code in diesem Zeitraum um 11 Prozent. Dies zeigt, dass wir mit dem CodeProfiler auf dem richtigen Weg sind.“ Dabei legen die Verantwortlichen hohen Wert darauf, dass gerade bei Security-Fundstellen selten Genehmigungen ausgesprochen werden – nur eine Korrektur gilt als Erfolg.

Einsatzgebiet schrittweise erweitern

Um den Nutzen des CodeProfilers zu steigern, will Krones sein Einsatzgebiet schrittweise erweitern. Während bisher nur Security-Testfälle als zwingend notwendig eingestuft werden, soll dies künftig auch für bestehende Prüfungen gelten. Zudem ist geplant, Testfälle aus den Domänen Wartbarkeit, Robustheit und Performance zu aktivieren. Auch sollen die Code-Prüfungen auf Dritthersteller ausgeweitet werden – in engem Schulterschluss mit Virtual Forge: „Die Zusammenarbeit mit den Beratern ist sehr partnerschaftlich. Konkret waren wir bereits an der Erstellung von drei Testfällen beteiligt“, bringt es Markus Gradl auf den Punkt.

Über die Autorin: Sibylle Hofmeyer ist freie IT-Fachjournalistin in Heidelberg.

Sourcecode unter der Security-Lupe

Security-Startups im Blickpunkt: Bitinspect

Sourcecode unter der Security-Lupe

28.07.17 - Immer mehr Unternehmen wollen ihre Dienstleistungen und Angebote Online oder per App ihren Kunden näher bringen. Spätestens wenn dabei personenbezogene Daten gespeichert oder Zahlungstransaktionen abgewickelt werden sollen, ist die Sicherheit der Anwendung ein wichtiger Faktor. Das Darmstädter Security-Startup Bitinspect hilft Unternehmen, die Sicherheit ihrer Webanwendungen und Apps genau unter die Lupe zu nehmen. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

 

Copyright © 2017 - Vogel Business Media