Контакты
Подписка 2025

Безопасность приложений на базе SAP и 1С начинается с проверки кода

Екатерина Герлинг, 26/02/25

После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.

ris1-Feb-26-2025-02-52-21-3697-PM

При работе с любым программным обеспечением пользователь ожидает не только его функциональности, но и надежности. Важно, чтобы программа выполняла все заявленные функции, не содержала вредоносных фрагментов кода, была защищена от скрытых уязвимостей и SQL-инъекций, а также не перегружала устройство, корректно обрабатывая входные данные.

Особенно остро эти вопросы встают в отношении специализированного программного обеспечения, предназначенного для объектов критической информационной инфраструктуры. А если речь идет о продуктах, обеспечивающих информационную безопасность, возможные уязвимости в них могут привести к еще более серьезным последствиям в рамках "атаки на цепочку поставок".

И это вовсе не теоретические рассуждения. Статистика говорит сама за себя: уже второй год подряд значительная часть кибератак связана с эксплуатацией уязвимостей веб-приложений. В 2023 г. на такие случаи пришлось 61% атак, а в 2024 г. – 40%.

Для решения этой проблемы применяются технологии анализа безопасности кода, среди которых выделяются два ключевых метода: SAST (Static Application Security Testing) и DAST (Dynamic Application Security Testing). Они позволяют обнаруживать уязвимости на разных этапах жизненного цикла программного обеспечения.

SAST-анализ проводится без необходимости запуска программы, исследуя исключительно ее исходный код. DAST, напротив, изучает уже работающее приложение, выявляя потенциальные угрозы в динамике. Эти два подхода прекрасно дополняют друг друга, позволяя обеспечивать безопасность программного обеспечения как на стадии его разработки, так и в процессе эксплуатации.

Особенности разработки бизнес-приложений

Разработка программного обеспечения для внутренних нужд компании имеет свою специфику. Ни для кого не секрет, что многие бизнес-приложения традиционно создавались на платформе SAP. Однако после ухода этого вендора с российского рынка практически безальтернативным решением стала отечественная система 1С. Программирование под нее – задача не из дешевых, а число квалифицированных специалистов, способных работать с этой платформой, на рынке в последние годы резко сократилось.

Положение усложняется еще и тем, что если для языков общего назначения, таких как JavaScript, Python, C или Java, существует множество российских и зарубежных инструментов анализа кода, то специализированные решения для SAP- и 1С-ориентированных приложений найти гораздо сложнее.

На российском рынке есть продукты, способные решить эту задачу. Один из них – SafeERP от компании "Газинформсервис". Это комплексное решение обеспечивает безопасность ERP-систем, веб-приложений и сервисов, предлагая защиту для платформ 1С и SAP, интегрируясь в процесс разработки.

Для защиты SAP-инфраструктуры предусмотрен модуль SafeERP Security Suite. Он работает на базе SAP NetWeaver, встраивается в систему заказчика и обеспечивает контроль конфигурации, проверку целостности объектов (Platform Security) и статический анализ кода ABAP (Code Security). Внедренные агенты позволяют контролировать соответствие конфигураций заданным требованиям и выявлять потенциальные угрозы.

Для приложений на платформе 1С и других языков программирования существует SafeERP Code Security Extension Module. Этот инструмент автоматизирует анализ и защиту кода: пользователи могут подключаться к серверу 1С в режиме конфигуратора, выгружать выбранные модули и проводить их проверку. Анализ осуществляется на основе синтаксического и семантического разбора, что позволяет выявлять уязвимости с учетом их критичности, а также создавать пользовательские сценарии проверки.

Отдельный модуль, SafeERP Platform Security Extension Module, предназначен для оценки конфигурации системы 1С на соответствие установленным требованиям. Он также позволяет проводить автоматизированное тестирование проникновения в приложения, SAP-сервисы и другие распространенные платформы с использованием методов динамического анализа. SafeERP может не только находить признаки уязвимостей, но и проверять возможность их эксплуатации на практике.

Темы:Безопасная разработкаГазинформсервисВебмониторэкс

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Aladdin eCA – доверенная альтернатива Microsoft CA
    Денис Полушин, руководитель направления PKI компании Аладдин
    Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.
  • SECURITM делает безопасность доступной и эффективной
    Николай Казанцев, CEO компании SECURITM
    Николай Казанцев, CEO компании SECURITM, о философии информационной безопасности, доступности решений для бизнеса любого масштаба, о построении идеальной инфраструктуры и о том, как меняется подход к управлению информационной безопасностью.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.
  • Обзор новинок UserGate конца 2024 года
    Компания UserGate обычно радует рынок своими новинками в апреле, но в этом году решила, что ждать весны слишком долго, и выстрелила новыми продуктами уже в ноябре. Темп инноваций лишний раз напоминает, что улучшение безопасности – это вопрос не календаря, а готовности разработчиков удивлять своих клиентов.
  • Что нужно знать про новые штрафы в области ПДн?
    Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры”
    В сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КоАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...