{"id":33935,"date":"2023-10-19T16:13:10","date_gmt":"2023-10-19T14:13:10","guid":{"rendered":"https:\/\/www.blue.works\/?p=33935"},"modified":"2026-02-17T12:58:37","modified_gmt":"2026-02-17T11:58:37","slug":"im-entwickler-boudoir-i-cva-in-der-cloud","status":"publish","type":"post","link":"https:\/\/www.blue.works\/de\/im-entwickler-boudoir-i-cva-in-der-cloud\/","title":{"rendered":"Im Entwickler-Boudoir I – CVA in der Cloud"},"content":{"rendered":"\n

SAP Code Vulnerability Analyzer in CloudATC<\/h2>\n\n\n\n

Barthel weiss, wo er den Most holt<\/h3>\n\n\n\n

In einer Zeit, in der Cyber<\/em>-Sicherheitsvorf\u00e4lle immer h\u00e4ufiger auftreten, unterstreichen aktuelle Berichte die Bedeutung von robusten Sicherheitsmechanismen.<\/p>\n\n\n\n

Zwei Beispiele aus vielen.<\/p>\n\n\n\n

Ein Vizeadmiral der Deutschen Bundeswehr warnte k\u00fcrzlich vor der Zunahme von Cyber<\/em>-Angriffen, wie in einem Artikel von Thomas Daum<\/a> berichtet wurde. Zudem zeigte ein Bericht von InfoGuard<\/a>, dass besonders Schweizer Industriefirmen Ziel von Cyber<\/em>-Attacken sind.<\/p>\n\n\n\n

Diese Entwicklungen machen Sicherheit, neben Fehlerfreiheit und Usability<\/em> zu einer entscheidenden strategischen Komponente bei der Software-Entwicklung.<\/p>\n\n\n\n

SAP hat hierzu das secure SDL (secure Software Development Lifecycle)<\/a> etabliert. Doch da SAP Anwendungen schon seit R\/2 Zeiten die M\u00f6glichkeit f\u00fcr Kunden-Erweiterungen oder -Eigenentwicklungen anbieten, \u00f6ffnet sich eine grosse Sicherheitsl\u00fccke in den hoffentlich sicheren SAP Anwendungen.<\/p>\n\n\n\n

Ehrlich: Welcher SAP Kunde kann seine Hand ins Feuer<\/a> legen, dass seine Eigenentwicklungen sicher sind, dass kein Entwickler oder Entwicklerin eine L\u00fccke hinterlassen oder sogar ein Hintert\u00fcrchen im Code vergessen hat.<\/p>\n\n\n\n

So etwas habe ich wirklich erlebt: \u201e <\/mark>\"\"\u201c, und dies in einer produktiven Anwendung! War nicht mal b\u00f6se gemeint, sondern nur ein bequemer Pantoffel. Die ganze strukturierte Transportiererei war dem Herrn schlicht zu umst\u00e4ndlich. Meistens ist nicht b\u00f6ser Wille, sondern Bequemlichkeit der Grund f\u00fcr viele Sicherheitsl\u00fccken.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Aber auch das Umfeld der Projekte tr\u00e4gt zu unsicherem Code bei. Projekte haben strenge Budget- und Zeit-Fesseln: F\u00fcr den Projektleiter z\u00e4hlt, die versprochenen Funktionen in der geplanten Projektdauer umzusetzen. Da bleibt f\u00fcr das Thema Security wohl nicht mehr viel Zeit \u00fcbrig. Traurig, aber wahr: Sicherer Code ist unsichtbar und f\u00f6rdert daher die Karriere nicht.<\/p>\n\n\n\n

Tats\u00e4chlich erscheint in diesem Report von sapinsider.org<\/a> \u00fcber die Gefahren f\u00fcr die Cyber<\/em>-Sicherheit von SAP-Systemen Custome Code Vulnerability<\/em> im oberen Mittelfeld.<\/p>\n\n\n\n

Viele L\u00f6sungsanbieter haben diesen Anwendungsfall f\u00fcr sich entdeckt und bieten ihre Dienste oder Produkte zur Validierung von Custom Code<\/em> an. So auch die SAP selber mit der SAP Code Vulnerability Analyzer<\/a> (CVA). Dieser ist die Check-Variante SLIN_SEC im Code Inspector, kann also leicht mit dem ABAP Test Cockpit (ATC) in den Entwicklungsworkflow eingebunden werden. SAP nutzt ihn selber, um \u00fcber 500 Millionen Lines of Code zu \u00fcberpr\u00fcfen.<\/p>\n\n\n\n

Toll, sage ich mir. Lass es uns ausprobieren \u2012 Doch warum sind die Checks inaktiv?<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ich entdecke, dass diese Check-Variante eine lizenzpflichtige Komponente ist: SAP Materialnummer 7019502. Ich schaue kurz in die SAP Preisliste, und muss mich setzen. Ein Schock! F\u00fcnf Users<\/em> sollen 249.225,00 CHF kosten! F\u00fcnf! Und hinzu kommen die j\u00e4hrlichen Wartungskosten!<\/p>\n\n\n\n

Jedem, dem ich das erz\u00e4hlt habe, ist sichtbar das Kinn heruntergefallen. Keine Chance auch nur daran zu denken, daf\u00fcr im Unternehmen Budget loszueisen \u2012 wenn man keine Bank ist!<\/p>\n\n\n\n

Sonnig mit Wolken<\/h3>\n\n\n\n

Wie elektrisiert war ich dann, als ich w\u00e4hrend eines Vortrags von Olga Dolinskaja<\/a> h\u00f6rte, dass der CVA innerhalb der Custom Code Migration App auf dem BTP ABAP Environment<\/a> (liebevoll auch Steampunk<\/em> genannt) frei von Lizenzkosten ist. Es entstehen nur die Kosten f\u00fcr eben diese ABAP Instanz auf der BTP (Business Technology Platform), die nicht unerheblich sind, aber viel geringer als die Materialnummer 7019502.<\/p>\n\n\n\n

Man kann sogar eine ABAP Instanz mit free_tier Service Plan<\/a> hierzu verwenden, auch wenn dieser leider die Einschr\u00e4nkung von nur 10 ATC L\u00e4ufen hat. Aber immerhin\u2026<\/p>\n\n\n\n

Ganz klar eine Karotte, um uns in die Cloud zu locken, aber was f\u00fcr eine gutschmeckende!<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ich st\u00fcrze mich gleich auf unseren Sandbox-Tenant<\/em>. Angeblich ist ja das Setup leichter als on Premise<\/em> (siehe Bild). Doch weit gefehlt, wenn man bei Adam und Eva anfangen muss: Cloud Connector installieren, BTP ABAP Environment installieren, alles miteinander verbinden.<\/p>\n\n\n\n

Ich ertrinke in Guides<\/em> und Dokumentationen. Entweder es ist zu viel da, oder es klaffen L\u00fccken. Da br\u00e4uchte man einen Berater. Ops, bin ich ja selber. Nun gut, es heisst also, die Z\u00e4hne zusammenzubeissen und sich durchzuk\u00e4mpfen.<\/p>\n\n\n\n

Mein erster Versuch, einen dedizierten Subaccount<\/em> einzurichten, scheiterte, denn ungl\u00fccklicherweise hatte ich cf-eu10 als \u201eRegion<\/em>\u201c gew\u00e4hlt, um sp\u00e4ter festzustellen, dass es nicht reichte, die Cloud Foundry einzuschalten, nein, man muss den Cloud Foundry Service (Free Tier) beziehen. Und an dem Tag meines Versuchs wurde dieser (noch?) nicht f\u00fcr cf-eu10 angeboten. Also hiess es, alles wieder l\u00f6schen, denn ich fand keine M\u00f6glichkeit, die Region eines Subaccounts nachtr\u00e4glich zu wechseln.<\/p>\n\n\n\n

Dass die unterschiedlichen Dienste nicht gleichm\u00e4ssig auf allen Regionen verf\u00fcgbar sind, ist ein immer wieder aufflammendes \u00c4rgernis.<\/p>\n\n\n\n

Mein zweiter Versuch mit Region cf-eu20 gelang schliesslich.<\/p>\n\n\n\n

Danach ging es in der frischen ABAP Instanz weiter, es musste die Verbindung zum ABAP System angelegt werden \u2012 hier sehnt man sich nach der Einfachheit einer SM59! Aber ich habe es schlie\u00dflich geschafft, jetzt weiss ich, wie es geht.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Auf meinen ersten Lauf war ich gespannt. Die CVA verbirgt sich hinter einem Custom Code Analyse Projekt der Custom Code Migration App.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Die App entdeckt korrekterweise unseren Kunden-Namensraum \/BLUWRKS\/.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Unser Sandbox System hat nicht viel Custom Code, daher gibt es nur dreizehn Befunde:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Das Ergebnis besteht aus einer langen Trefferliste mit praktisch keiner Workflow-M\u00f6glichkeiten. Aber immerhin\u2026<\/p>\n\n\n\n

Der Prio 1 Treffer, \u00fcbrigens, wurde vom CRM WebUI Erweiterungswerkzeug, dem AXT, generiert und geh\u00f6rt daher in die Ausnahmeliste, wenn sie mal verf\u00fcgbar sein wird:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Bei vielen Objekten kann man mit einem Klick sich die fragliche Stelle anzeigen lassen:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Zun\u00e4chst wird der Treffer im adt Service auf dem Entwicklungssystem ge\u00f6ffnet.<\/p>\n\n\n\n

Es wird aber ein Button angeboten, um die Stelle im Eclipse-Editor zu \u00f6ffnen:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Mit grossem Tam-Tam hat SAP angek\u00fcndigt, dass es jetzt eine ATC Configurator App gibt, aber mit der kann man nur ein paar Attribute und die Priorit\u00e4t der Checks \u00e4ndern. Ich kann nur hoffen, dass die App weiter angereichert wird, denn stand heute (Q3 2023) ist sie kaum brauchbar.<\/p>\n\n\n\n

Was tun?<\/h3>\n\n\n\n

Alles ist eingerichtet, der CVA im cloud ATC funktioniert. Doch das Ergebnis ist etwas sperrig, da es keine Workflow-M\u00f6glichkeiten bietet, um die Arbeit an der Ergebnisliste zu verteilen.<\/p>\n\n\n\n

Man muss also das Prozedere gut durchdenken und organisieren, besonders wenn man von dem ABAP free tier Service Plan Gebrauch macht, da man hier nur 10 ATC L\u00e4ufe frei hat. Denn jedes Entwicklungssystem ben\u00f6tigt einen eigenen Lauf.<\/p>\n\n\n\n

Vorschlag<\/h4>\n\n\n\n

Der erste Aufruf des CVAs sollte als kleines internes Projekt aufgesetzt werden, mit klaren Rollen und Zust\u00e4ndigkeiten. Die Entwicklungsleitung sollte hier die F\u00fchrung \u00fcbernehmen, und jedes Line-of-Business Entwicklungsteam sollte einen oder eine Senior-Entwicklerin daf\u00fcr einplanen. Man kann dieses IT-Projekt zum Beispiel mit Hilfe eines Cloud ALM Projektes steuern. Zum Beispiel kann man dedizierte Rollen anlegen:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ebenso kann man passende Workstreams<\/em> erstellen:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Die Sytem Groups<\/em> und Deployment Plans<\/em>, mit denen man innerhalb des Projektes die ABAP Systeme auch transport-m\u00e4ssig innerhalb von Releases<\/em> steuern kann, deute ich hier nur an. Ebenso die Deliverables<\/em> eines Projektes. Es soll ja noch Stoff f\u00fcr einen weiteren Blog \u00fcbrigbleiben.<\/p>\n\n\n\n

Die Prio 1 F\u00e4lle w\u00fcrde ich im gesamten Team durchzuarbeiten, um gemeinsam ein Bewusstsein f\u00fcr die F\u00e4lle zu erlangen und gemeinsam getragene Entscheidungen zu treffen.<\/p>\n\n\n\n

Im Falle von Prio 2 und 3 Treffern w\u00fcrde ich die Ergebnisliste als Excel Datei herunterladen und nach Zust\u00e4ndigkeiten in weitere Dateien separieren und verteilen. Man kann \u201ePackage<\/em>\u201c und \u201eProcessor<\/em>\u201c als Kriterium f\u00fcr die Verteilung heranziehen. Auch hier kann man innerhalb des Cloud ALM Projektes die Verteilung der Excel-Arbeitspakete per Project Tasks durchf\u00fchren:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Die einzelnen Entwicklerinnen werden \u00fcber Sub-Tasks gesteuert und k\u00f6nnen einzeln den Status setzen. Auch gibt es eine direkte Verbindung zum Test-Management und nat\u00fcrlich mit dem finalen Deployment<\/em> in das Produktivsystem.<\/p>\n\n\n\n

Wer den Komfort des direkten Absprungs in den lokalen ATC-Service mag, kann seine Treffer in der Cloud App per Filterung finden und von dort aus in den Editor (Eclipse<\/em> mit den ABAP Developer Tools, ADT) \u00f6ffnen.<\/p>\n\n\n\n

Usage<\/em> Daten sind n\u00fctzlich, aber solange nicht aufgerufenes, jedoch unsicheres Coding im Produktivsystem vorhanden ist, muss es korrigiert werden \u2012 oder gel\u00f6scht.<\/p>\n\n\n\n

Das \u201eScoping<\/em>\u201c der Custom Code Migration App ist \u00fcberfl\u00fcssig, denn es wird nur bei einer tats\u00e4chlichen Migration mit Hilfe des Software Update Managers (SUM) verwertet.<\/p>\n\n\n\n

Die Erkenntnisse aus den Checks sollten in die unternehmenseigenen Programmier-Richtlinien einfliessen.<\/p>\n\n\n\n

Ein neuer Kontroll-Lauf nach sagen wir einem Jahr sollte eine viel viel kleinere Trefferliste erzeugen.<\/p>\n\n\n\n

Eine Anmerkung zum Schluss. Seit undenklichen SAP Gui Zeiten spricht das Custom Code Management von \u201eProjekten\u201c. Und seit undenklichen Zeiten haben diese CCM-Projekte keine Verbindung mit den \u201eechten\u201c Projekten, die mit Staff und Budget innerhalb einer vorgegebenen Zeit ein Ergebnis zu liefern trachten. Beide haben (leider) keine Verkn\u00fcpfung miteinander.<\/p>\n\n\n\n

Viel Spass!<\/p>\n","protected":false},"excerpt":{"rendered":"

In einer Zeit, in der Cyber-Sicherheitsvorf\u00e4lle immer h\u00e4ufiger auftreten, unterstreichen aktuelle Berichte die Bedeutung von robusten Sicherheitsmechanismen.<\/p>\n","protected":false},"author":16,"featured_media":33982,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":"[]"},"categories":[96],"tags":[264],"class_list":["post-33935","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sap-alm-insights","tag-security-de"],"acf":[],"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/www.blue.works\/wp-content\/uploads\/2023\/10\/fly-d-BH0Wwlmv2oA-unsplash-scaled.jpg","_links":{"self":[{"href":"https:\/\/www.blue.works\/de\/wp-json\/wp\/v2\/posts\/33935","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.blue.works\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.blue.works\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.blue.works\/de\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/www.blue.works\/de\/wp-json\/wp\/v2\/comments?post=33935"}],"version-history":[{"count":21,"href":"https:\/\/www.blue.works\/de\/wp-json\/wp\/v2\/posts\/33935\/revisions"}],"predecessor-version":[{"id":45167,"href":"https:\/\/www.blue.works\/de\/wp-json\/wp\/v2\/posts\/33935\/revisions\/45167"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.blue.works\/de\/wp-json\/wp\/v2\/media\/33982"}],"wp:attachment":[{"href":"https:\/\/www.blue.works\/de\/wp-json\/wp\/v2\/media?parent=33935"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.blue.works\/de\/wp-json\/wp\/v2\/categories?post=33935"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.blue.works\/de\/wp-json\/wp\/v2\/tags?post=33935"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}