Programmierer Befragung - Sicherheitsrisiken im ABAP Code
4 Beiträge
•
Seite 1 von 1
4 Beiträge
Seite 1 von 1
Hallo SAP Programmierer!
Ich bin Student und in meiner Bachelorarbeit beschäftige ich mich mit Sicherheitsrisiken im ABAP Code. Dazu habe ich einen Fragebogen erstellt. Es wäre sehr nett von euch, wenn ihr euch an der Umfrage beteiligen könntet - dauert nur 5 - 10 Minuten!
Ich freue mich auf euer Feedback. Vielen Dank schon im Vorfeld!
https://docs.google.com/forms/d/1I9hTYP ... I/viewform
Ich bin Student und in meiner Bachelorarbeit beschäftige ich mich mit Sicherheitsrisiken im ABAP Code. Dazu habe ich einen Fragebogen erstellt. Es wäre sehr nett von euch, wenn ihr euch an der Umfrage beteiligen könntet - dauert nur 5 - 10 Minuten!
Ich freue mich auf euer Feedback. Vielen Dank schon im Vorfeld!
https://docs.google.com/forms/d/1I9hTYP ... I/viewform
gesponsert ⓘ
Stellenangebote auf ABAPforum.com schalten
kostenfrei für Ausbildungsberufe und Werksstudenten
kostenfrei für Ausbildungsberufe und Werksstudenten
Beitrag
von a-dead-trousers (Top Expert / 4451 / 227 /
1197
)
»
hi!
Okay, habs ausgefüllt.
Nur hab ich eine Frage zu den "Wieviel Zeit"-Fragen:
Was ist hier abzuschätzen? Nur die Zeit die dafür benötigt um die gestellte Aufgabe umzusetzen oder auch alles was zusätzlich noch benötigt wird?
z.B.: "Einbau von Authority-Check bei Report-Aufruf" = weniger als 1 Stunde.
Oder doch "Einbau von Authority-Check bei Report-Aufruf UND entsprechende Weiterverarbeitung" (Wechseln in Anzeige-Modus, Hinweißmeldung, ...) = 3 Stunden und mehr.
Ich hab mal zweiteres angenommen, weil nur ein Einbau von Authority-Check meistens nicht aussreicht.
Bei den sy-sysid und sy-mandt Fragen kommen zusätzlich auch noch eine Code-Analyse und entsprechende Abfragen evtl. auf Customizing-Tabellen usw. dazu. Nur so ist gewährleistet, dass das Programm nachher genauso funtkioniert wie vorher. Ein reines "Entfernen" würde wiederum nur eine Stunde in Anspruch nehmen.
lg ADT
Okay, habs ausgefüllt.
Nur hab ich eine Frage zu den "Wieviel Zeit"-Fragen:
Was ist hier abzuschätzen? Nur die Zeit die dafür benötigt um die gestellte Aufgabe umzusetzen oder auch alles was zusätzlich noch benötigt wird?
z.B.: "Einbau von Authority-Check bei Report-Aufruf" = weniger als 1 Stunde.
Oder doch "Einbau von Authority-Check bei Report-Aufruf UND entsprechende Weiterverarbeitung" (Wechseln in Anzeige-Modus, Hinweißmeldung, ...) = 3 Stunden und mehr.
Ich hab mal zweiteres angenommen, weil nur ein Einbau von Authority-Check meistens nicht aussreicht.
Bei den sy-sysid und sy-mandt Fragen kommen zusätzlich auch noch eine Code-Analyse und entsprechende Abfragen evtl. auf Customizing-Tabellen usw. dazu. Nur so ist gewährleistet, dass das Programm nachher genauso funtkioniert wie vorher. Ein reines "Entfernen" würde wiederum nur eine Stunde in Anspruch nehmen.
lg ADT
Folgende Benutzer bedankten sich beim Autor a-dead-trousers für den Beitrag:
JHammer
Theory is when you know something, but it doesn't work.
Practice is when something works, but you don't know why.
Programmers combine theory and practice: Nothing works and they don't know why.
ECC: 6.18
Basis: 7.50
Practice is when something works, but you don't know why.
Programmers combine theory and practice: Nothing works and they don't know why.
ECC: 6.18
Basis: 7.50
Wird aus der Fragestellung aber nicht ersichtlich.JHammer hat geschrieben:Die gewählte Herangehensweise ist perfekt. Nachbereitung und Testing ( Wurde das Risiko korrekte beseitigt) gehören dazu
Zumal die Zeitschätzungen eh fragwürdig sind, wenn das zugrunde liegende Berechtigungskonzept (Rollen) nicht passt. Berechtigungsgruppen für Tabellen zu zuordnen ist ja nicht das Problem. Wenn dann aber noch hunderte von Rollen angelegt/angepasst werden müssen, steigt der Arbeitsaufwand enorm. Es ist sinnvoll Transaktionen zu berechtigen, bringen aber nichts, wenn die User die Reports über die SA38 ausführen können (naja zum Teil geht die Fragestellung auf das Problem ein, in dem im Fragetext zwei FuBas genannt werden).
Auf die Berechtigungsobjekte S_TABU_NAM und S_PROGRAM / S_DEVELOP wird auch nicht eingegangen. Bieten aber auch schnellen und einfachen schutz.
Gruß Hendrik
Seite 1 von 1
Vergleichbare Themen
0
Antw.
Antw.
1818
Views
Views
Frage die ABAP Experten
Über diesen Beitrag
Unterstütze die Community und teile den Beitrag für mehr Leser und Austausch
Aktuelle Forenbeiträge
Newsletter Anmeldung
Keine Beiträge verpassen! Wöchentlich versenden wir lesenwerte Beiträge aus unserer Community.Die letzte Ausgabe findest du hier.