[Owasp-germany] SAP Source Code Review - Beispielcode gesucht

Frederik Weidemann frederik.weidemann at virtualforge.com
Mon Mar 9 17:04:36 UTC 2015


Hi Patrick, hi  Markus, hallo zusammen, 

wie Patrick schon schreibt gibt es bei ABAP mehr zu betrachten. Ich bin Coauthor vom Buch Sichere ABAP Programmierung und bei einem der ABAP Scannerhersteller tätig ;). Unabhängig meines Arbeitgebers kann ich selbst nur empfehlen die Produkte an Hand des eigenen Bestandcodings anzuschauen. Das allein sollte schon gute vergleichbare Ergebnisse und diese sollte man dann validieren. Es ist nicht unüblich, wenn die Anzahl der wirklichen Treffer deutlich höher ist, als man vorher angenommen hat. In der Regel bekommt man dadurch auch realistische Ergebnisse und nicht "künstliche" die später womöglich gar nicht in der realen Welt vorkommen könnten. Ansonsten gibt es aber auch Möglichkeiten an Testcoding heranzukommen. 

Zum Thema ABAP Coding Schwachstellen und deren Häufigkeit verweise ich gerne auch auf unseren Benchmark in dem 200+ Test samples von Kundenscans enthalten sind. Zu finden unter https://www.virtualforge.com/de/labs/white-papers/the-business-code-quality-benchmark.html (allerdings ein Whitepaper von einem der Hersteller ;) ). Den Inhalt habe ich in einer älteren Version auch auf dem DSAG Jahreskongress 2012 präsentiert.

Viele Grüße,

Frederik  

-----Original Message-----
From: owasp-germany-bounces at lists.owasp.org [mailto:owasp-germany-bounces at lists.owasp.org] On Behalf Of Hildenbrand, Patrick
Sent: Montag, 9. März 2015 14:47
To: Owasp-germany at lists.owasp.org
Subject: Re: [Owasp-germany] SAP Source Code Review - Beispielcode gesucht

Hi Ralf, 

gerade bei ABAP hilft dir aber das Coding allein auch nicht viel. Da geht es auch oft um Metadaten und Modelldefintionen.
Einige Scanner haben gerade hier ein Problem, das würdest du mit reinem Coding gar nicht finden.
Andere Scanner kommen schon beim Parsen von manchen ABAP Konstrukten durcheinander. 
Das alles in Beispiele zu gießen würde spassig ;-)

BTW: in den neueren ABAP Systemen (z.B. 7.40 ab SP05) gibt es in der F1 Hilfe einige Beispiele.

Gruss Patrick

-----Original Message-----
From: Ralf Reinhardt [mailto:ralf.reinhardt at owasp.org]
Sent: Montag, 9. März 2015 14:22
To: Hildenbrand, Patrick
Cc: Owasp-germany at lists.owasp.org
Subject: Re: [Owasp-germany] SAP Source Code Review - Beispielcode gesucht

Hallo Patrick,

na um z.B. die Fähigkeit der unterschiedlichen Scanner zu benchmarken und die Spreu vom Wenigerspreu zu trennen.

Den Hersteller selbst fragen ob das Tool auch taugt bringt erfahrungsgemäß wenig ;-)

@Markus: Spannend. Wird das ein OWASP-Projekt?

Schöne Grüße,
Ralf

Am Montag, den 09.03.2015, 11:27 +0000 schrieb Hildenbrand, Patrick:
> Hi,
> 
> die Frage verstehe ich nicht ganz. Die Qualität prüft man doch am besten mit den eigenen Systemen?
> Klar hab ich Beispielcode für Schwachstellen, auch um diese zu erklären. Warum sollte ich diesen Beispielcode aber benutzen wollen um Scanner zu testen?
> 
> Gruss,
> Patrick
> 
> -----Original Message-----
> From: owasp-germany-bounces at lists.owasp.org 
> [mailto:owasp-germany-bounces at lists.owasp.org] On Behalf Of Markus 
> Miedaner
> Sent: Montag, 9. März 2015 12:07
> To: owasp-germany at lists.owasp.org
> Subject: [Owasp-germany] SAP Source Code Review - Beispielcode gesucht
> 
> Hallo !
> 
> kennt jemand eine Beispielapplikation / Beispielcode mit dem man die 
> Qualität von SourceCodeScannern für SAP prüfen kann?
> 
> Viele Grüße,
> Markus
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany


_______________________________________________
Owasp-germany mailing list
Owasp-germany at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-germany


More information about the Owasp-germany mailing list