Контакты
Подписка 2025

Безопасность приложений на базе SAP и 1С начинается с проверки кода

Екатерина Герлинг, 26/02/25

После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.

ris1-Feb-26-2025-02-52-21-3697-PM

При работе с любым программным обеспечением пользователь ожидает не только его функциональности, но и надежности. Важно, чтобы программа выполняла все заявленные функции, не содержала вредоносных фрагментов кода, была защищена от скрытых уязвимостей и SQL-инъекций, а также не перегружала устройство, корректно обрабатывая входные данные.

Особенно остро эти вопросы встают в отношении специализированного программного обеспечения, предназначенного для объектов критической информационной инфраструктуры. А если речь идет о продуктах, обеспечивающих информационную безопасность, возможные уязвимости в них могут привести к еще более серьезным последствиям в рамках "атаки на цепочку поставок".

И это вовсе не теоретические рассуждения. Статистика говорит сама за себя: уже второй год подряд значительная часть кибератак связана с эксплуатацией уязвимостей веб-приложений. В 2023 г. на такие случаи пришлось 61% атак, а в 2024 г. – 40%.

Для решения этой проблемы применяются технологии анализа безопасности кода, среди которых выделяются два ключевых метода: SAST (Static Application Security Testing) и DAST (Dynamic Application Security Testing). Они позволяют обнаруживать уязвимости на разных этапах жизненного цикла программного обеспечения.

SAST-анализ проводится без необходимости запуска программы, исследуя исключительно ее исходный код. DAST, напротив, изучает уже работающее приложение, выявляя потенциальные угрозы в динамике. Эти два подхода прекрасно дополняют друг друга, позволяя обеспечивать безопасность программного обеспечения как на стадии его разработки, так и в процессе эксплуатации.

Особенности разработки бизнес-приложений

Разработка программного обеспечения для внутренних нужд компании имеет свою специфику. Ни для кого не секрет, что многие бизнес-приложения традиционно создавались на платформе SAP. Однако после ухода этого вендора с российского рынка практически безальтернативным решением стала отечественная система 1С. Программирование под нее – задача не из дешевых, а число квалифицированных специалистов, способных работать с этой платформой, на рынке в последние годы резко сократилось.

Положение усложняется еще и тем, что если для языков общего назначения, таких как JavaScript, Python, C или Java, существует множество российских и зарубежных инструментов анализа кода, то специализированные решения для SAP- и 1С-ориентированных приложений найти гораздо сложнее.

На российском рынке есть продукты, способные решить эту задачу. Один из них – SafeERP от компании "Газинформсервис". Это комплексное решение обеспечивает безопасность ERP-систем, веб-приложений и сервисов, предлагая защиту для платформ 1С и SAP, интегрируясь в процесс разработки.

Для защиты SAP-инфраструктуры предусмотрен модуль SafeERP Security Suite. Он работает на базе SAP NetWeaver, встраивается в систему заказчика и обеспечивает контроль конфигурации, проверку целостности объектов (Platform Security) и статический анализ кода ABAP (Code Security). Внедренные агенты позволяют контролировать соответствие конфигураций заданным требованиям и выявлять потенциальные угрозы.

Для приложений на платформе 1С и других языков программирования существует SafeERP Code Security Extension Module. Этот инструмент автоматизирует анализ и защиту кода: пользователи могут подключаться к серверу 1С в режиме конфигуратора, выгружать выбранные модули и проводить их проверку. Анализ осуществляется на основе синтаксического и семантического разбора, что позволяет выявлять уязвимости с учетом их критичности, а также создавать пользовательские сценарии проверки.

Отдельный модуль, SafeERP Platform Security Extension Module, предназначен для оценки конфигурации системы 1С на соответствие установленным требованиям. Он также позволяет проводить автоматизированное тестирование проникновения в приложения, SAP-сервисы и другие распространенные платформы с использованием методов динамического анализа. SafeERP может не только находить признаки уязвимостей, но и проверять возможность их эксплуатации на практике.

Темы:Безопасная разработкаГазинформсервисSASTDASTSafeERP

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • О безопасности заимствованных компонентов Open Source
    Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения, ведущий научный сотрудник ФГБУН “ИСП РАН”
    Open Source стал неотъемлемой частью современного мира. Сегодня уже нет необходимости объяснять, что это такое, – с этим явлением все давно свыклись и приняли его как данность. Однако возникает другой вопрос: как эффективно и зрело работать с Open Source?
  • Автоматизация и экономика для обеспечения жизненного цикла безопасного ПО
    Борис Позин, технический директор ЗАО "ЕС-лизинг", д.т.н., профессор базовой кафедры “Информационно-аналитические системы” МИЭМ НИУ ВШЭ, главный научный сотрудник ИСП РАН
    Проблема обнаружения уязвимостей и недекларированных возможностей специалистами в жизненном цикле ПО автоматизированных систем становится все более актуальной в последние годы, особенно в связи с активизацией работ по импортозамещению, использованием свободного ПО, развитием масштабных проектов систем корпоративного уровня в различных отраслях народного хозяйства.
  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Центр мониторинга и реагирования GIS. Запущен SOC компании "Газинформсервис"
    Появление Центра мониторинга и реагирования в структуре "Газинформсервиса" – логичный и ожидаемый этап развития сервисов компании

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...