Екатерина Герлинг, 26/02/25
После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
При работе с любым программным обеспечением пользователь ожидает не только его функциональности, но и надежности. Важно, чтобы программа выполняла все заявленные функции, не содержала вредоносных фрагментов кода, была защищена от скрытых уязвимостей и SQL-инъекций, а также не перегружала устройство, корректно обрабатывая входные данные.
Особенно остро эти вопросы встают в отношении специализированного программного обеспечения, предназначенного для объектов критической информационной инфраструктуры. А если речь идет о продуктах, обеспечивающих информационную безопасность, возможные уязвимости в них могут привести к еще более серьезным последствиям в рамках "атаки на цепочку поставок".
И это вовсе не теоретические рассуждения. Статистика говорит сама за себя: уже второй год подряд значительная часть кибератак связана с эксплуатацией уязвимостей веб-приложений. В 2023 г. на такие случаи пришлось 61% атак, а в 2024 г. – 40%.
Для решения этой проблемы применяются технологии анализа безопасности кода, среди которых выделяются два ключевых метода: SAST (Static Application Security Testing) и DAST (Dynamic Application Security Testing). Они позволяют обнаруживать уязвимости на разных этапах жизненного цикла программного обеспечения.
SAST-анализ проводится без необходимости запуска программы, исследуя исключительно ее исходный код. DAST, напротив, изучает уже работающее приложение, выявляя потенциальные угрозы в динамике. Эти два подхода прекрасно дополняют друг друга, позволяя обеспечивать безопасность программного обеспечения как на стадии его разработки, так и в процессе эксплуатации.
Особенности разработки бизнес-приложений
Разработка программного обеспечения для внутренних нужд компании имеет свою специфику. Ни для кого не секрет, что многие бизнес-приложения традиционно создавались на платформе SAP. Однако после ухода этого вендора с российского рынка практически безальтернативным решением стала отечественная система 1С. Программирование под нее – задача не из дешевых, а число квалифицированных специалистов, способных работать с этой платформой, на рынке в последние годы резко сократилось.
Положение усложняется еще и тем, что если для языков общего назначения, таких как JavaScript, Python, C или Java, существует множество российских и зарубежных инструментов анализа кода, то специализированные решения для SAP- и 1С-ориентированных приложений найти гораздо сложнее.
На российском рынке есть продукты, способные решить эту задачу. Один из них – SafeERP от компании "Газинформсервис". Это комплексное решение обеспечивает безопасность ERP-систем, веб-приложений и сервисов, предлагая защиту для платформ 1С и SAP, интегрируясь в процесс разработки.
Для защиты SAP-инфраструктуры предусмотрен модуль SafeERP Security Suite. Он работает на базе SAP NetWeaver, встраивается в систему заказчика и обеспечивает контроль конфигурации, проверку целостности объектов (Platform Security) и статический анализ кода ABAP (Code Security). Внедренные агенты позволяют контролировать соответствие конфигураций заданным требованиям и выявлять потенциальные угрозы.
Для приложений на платформе 1С и других языков программирования существует SafeERP Code Security Extension Module. Этот инструмент автоматизирует анализ и защиту кода: пользователи могут подключаться к серверу 1С в режиме конфигуратора, выгружать выбранные модули и проводить их проверку. Анализ осуществляется на основе синтаксического и семантического разбора, что позволяет выявлять уязвимости с учетом их критичности, а также создавать пользовательские сценарии проверки.
Отдельный модуль, SafeERP Platform Security Extension Module, предназначен для оценки конфигурации системы 1С на соответствие установленным требованиям. Он также позволяет проводить автоматизированное тестирование проникновения в приложения, SAP-сервисы и другие распространенные платформы с использованием методов динамического анализа. SafeERP может не только находить признаки уязвимостей, но и проверять возможность их эксплуатации на практике.
