Fritz Mosonyi

SAP-Sicherheit – eine DevSecOps-Lösung

Fritz Mosonyi | Oktober 18, 2022

DevSecOps

Nach der jüngsten Entdeckung mehrerer schwerwiegender Schwachstellen in gängigen Entwicklungspaketen steht das Thema Sicherheit bei vielen IT-Verantwortlichen ganz oben auf der Agenda. Ereignisse wie das Log4j-Problem und andere seither entdeckte schwerwiegende Schwachstellen haben Unternehmen dazu veranlasst, sich Gedanken darüber zu machen, wie sie ihre Kultur in Bezug auf IT-Sicherheit verbessern und einen „DevSecOps“-Ansatz für das SAP-Änderungsmanagement automatisieren können.

DevSecOps ist ein relativ neuer Begriff in der SAP-Welt und steht für Development, Security, Operations. In der Vergangenheit wurden Änderungen von einem isolierten Team gesichert, bevor sie in die Produktion übernommen wurden. Dieser veraltete Ansatz ist problematisch, vor allem für Unternehmen, die einen agilen Ansatz für die Verwaltung ihrer SAP-Umgebung anstreben.

Die heutige „Shift Left“-Methodik betont, wie wichtig es ist, potenzielle Probleme so früh wie möglich im Entwicklungszyklus zu erkennen und sie zu lösen, bevor sie weiter fortschreiten können. Aus diesem Ansatz heraus wurde die Vision von DevSecOps geboren.

DevSecOps unterstreicht die Notwendigkeit, die Sicherheit als integralen Bestandteil in den Entwicklungslebenszyklus einzubeziehen. Dazu ist es erforderlich, die richtigen Sicherheitstools in den Entwicklungsworkflow zu integrieren und den Prozess so weit wie möglich zu automatisieren, um sicherzustellen, dass die Entwicklung nicht ins Stocken gerät.

Einführung eines DevSecOps-Ansatzes

Der Schlüssel zu einem erfolgreichen DevSecOps-Ansatz liegt in der Investition in die besten Lösungen für das Änderungsmanagement und die Einhaltung von Sicherheitsvorschriften. Zunächst benötigen Sie ein Tool zur Änderungsverwaltung, das einen durchsetzbaren Workflow-Prozess erstellen kann. Es muss in der Lage sein, alle Änderungen von ihrer Erstellung in der Entwicklung über den komplexen Sicherheits- und Testprozess bis hin zur sicheren Freigabe für die Produktion zu verwalten.

Als Nächstes benötigen Sie ein automatisiertes Code-Analyse-Tool, das den SAP-Code auf Sicherheit, Compliance, Leistung, Robustheit, Wartbarkeit und Vermeidung von Datenverlusten überprüfen kann.

Schließlich müssen die beiden Produkte integriert werden können, um eine nahtlose DevSecOps-Lösung zu schaffen, bei der die Sicherheitslösungen in den Rahmen des Entwicklungsprozesses integriert sind.

Die Vorteile dieser Lösung sind:

  • Sicherheitsmechanismen werden automatisch in Ihre Change Prozesse integriert
  • Sicherheitsprüfungen werden an mehreren Stellen im Entwicklungszyklus ausgelöst, um sicherzustellen, dass Schwachstellen so früh wie möglich erkannt werden
  • Nicht konformer Code wird daran gehindert, sich durch die Landschaft zu bewegen
  • Der Änderungsmanagementprozess wird vereinfacht, da das richtige Tool automatisch zur richtigen Zeit aufgerufen wird
  • CAB- und Produktmanager können Produktionsfreigaben zuverlässig abzeichnen, da sie wissen, dass die Änderungen einen strengen Sicherheitsüberprüfungsprozess durchlaufen haben

Die Rev-Trac / SAP Sicherheitslösung

Rev-Trac ermöglicht eine Integration mit zahlreichen, renommierten SAP-Sicherheits-Tools, um dem Markt eine integrierte Best-of-Breed SAP DevSecOps-Lösung anzubieten. Diese Hand-Off-Integrationen nutzen einen Shift-Links-Ansatz, um Sicherheitsschwachstellen zu identifizieren, bevor Transporte aus dem Entwicklungssystem freigegeben werden.

Als Teil des Entwicklungsworkflows übergibt Rev-Trac automatisch Objekte und Transporte an das gewählte Sicherheitstool und wartet dann auf ein Ergebnis. Ist das Ergebnis positiv, fährt Rev-Trac mit seinem Prozessablauf fort. Ein negatives Ergebnis verhindert, dass die Transporte fortgesetzt werden, bis die Entwickler das Problem behoben haben.

Für die SAP-Teams, die solch eine Lösung einsetzen, ergeben sich zahlreiche Vorteile:  

  • Sicherheitsschwachstellen werden in der Entwicklung automatisch erkannt, lange bevor sie im Produktionssystem Schaden anrichten können;
  • Sofortige Sicherheitsberichte bedeuten eine schnelle Problemlösung in der Entwicklung;
  • Agilität und Sicherheit gehen jetzt bei der Bereitstellung von SAP-Änderungen Hand in Hand;
  • Das CAB hat die Gewissheit, dass der gesamte Code auf Sicherheitsschwachstellen geprüft wurde; und
  • Der ROI für das gesamte Entwicklungstoolset wird dank der durchsetzbaren, anpassbaren Workflow-Funktionen von Rev-Trac maximiert

Wenn Sie weitere Informationen über die Rev-Trac / DevSecOps wünschen, wenden Sie sich bitte an einen unserer Experten für Change Management.

Fritz Mosonyi

Fritz Mosonyi startete im Januar 2020 bei RSC und übernahm die Rolle des Solution Consultant für Rev-Trac in EMEA. Von Wien aus verstärkt er das Customer Success Team, um Unternehmen in der DACH-Region mit Beratungs- und Pre-Sales-Services zu unterstützen. Er verfügt über ein umfangreiches Wissen im Bereich SAP Application Lifecycle Management und ist mit mehr…
See all articles by Fritz Mosonyi

Related Resources

Rev-Trac treibt SAP-Automatisierungsstrategie von Dana Inc. voran

Für Dana Incorporated war klar, dass zur Verwirklichung seiner Unternehmensziele und Steigerung seines Wachstums eine Verbesserung der Stabilität seiner SAP-Infrastrukturlandschaft vonnöten war. Das Unternehmen erkannte, dass die Automatisierung seiner bestehenden SAP-Change-Prozesse unerlässlich war, um die Systeme am Laufen zu halten und die Qualität deutlich zu verbessern. Vor allem würde eine Release-Management-Strategie Dana in die Lage versetzen, die Erfüllung der stetig steigenden Geschäftsanforderungen des KFZ-Ersatzteil- und Liefermarktes zu gewährleisten.

Read more

Previous Article
Warum sollten Sie Rev-Trac wählen, wenn Sie eine digitale Transformation zu S/4HANA einleiten?