View
3
Download
0
Category
Preview:
Citation preview
1
Virtual Forge
eBook
Informe de referencia de coacutedigo cliente 2016
Lo que toda empresa debiese saber sobre su coacutedigo ABAPreg
2
Informe de referencia
de
coacutedigo cliente
2016
Lo que toda empresa debiese saber
sobre su coacutedigo ABAPreg
Virtual Forge
eBook
3
Acerca del autor
Andreas Wiegenstein es consultor de seguridad de SAP desde 2003 Ha
realizado incontables auditoriacuteas de seguridad SAP y recibido
reconocimiento por maacutes de 75 parches de seguridad relacionados con
vulnerabilidades por eacutel detectadas en varios productos SAP
CTO de Virtual Forge lidera el
equipo de Research amp Innovation
equipo dedicado al estudio
especiacutefico de seguridad en
sistemas SAP
Andreas ha impartido formacioacuten
sobre seguridad SAP en grandes
empresas y organizaciones de
defensa y participado en muacuteltiples
conferencias especiacuteficas de SAP
tales como TechEd o SAPience
asiacute como en conferencias sobre seguridad informaacutetica tales como
Troopers Black Hat HITB IT Defense DeepSec y RSA Ha investigado
los principales 20 riesgos ABAP publicados por el Servicio Federal
Alemaacuten de Seguridad de la Informacioacuten (BSI) es coautor del primer libro
sobre seguridad ABAP (SAP Press 2009) y ha escrito el capiacutetulo sobre
seguridad de la guiacutea de mejores praacutecticas en ABAP Grupo de Usuarios
SAP de habla alemana (DSAG) Andreas es ademaacutes miembro de
BIZECorg comunidad dedicada al estudio de la seguridad en
soluciones informaacuteticas empresariales
Siga a Andreas en twitter codeprofiler
4
Iacutendice
Resumen 5
Estadiacutesticas Generales 7
Estadiacutesticas de Seguridad y Compliance 10
Estadiacutesticas de Rendimiento 14
Estadiacutesticas de Robustez 16
Observaciones Finales 18
5
5
Resumen
Praacutecticamente todos los clientes de SAPreg con el fin de adaptar la
solucioacuten estaacutendar a sus requerimientos especificos escriben su propio
coacutedigo ABAPreg Algunas empresas incluso han desarrollado su coacutedigo
cliente a lo largo de deacutecadas
iquestCuaacutel es la cantidad de coacutedigo cliente de una organizacioacuten
Y lo que es maacutes importante
iquestQueacute calidad tiene este coacutedigo cliente
Preguntas fundamentales que sin embargo pocas empresas son
capaces de responder
Virtual Forge lleva muchos antildeos realizando evaluaciones de riesgo
sobre coacutedigo ABAP en cientos de sistemas SAP distribuidos en una
amplia gama de clientes Estos resultados analizados a partir de
meacutetricas claves le han permitido establecer un marco referencial para
la calidad media del coacutedigo cliente de un sistema SAP
Virtual Forge es la primera empresa en publicar un anaacutelisis referencial
de calidad del coacutedigo cliente ABAP establecieacutendose como marco de
referencia global para toda implementacioacuten de sistemas SAP
Informacioacuten sobre el coacutedigo analizado
La totalidad del coacutedigo analizado no ha recibido ninguna atencioacuten especial en cuanto a la calidad es decir solo ha pasado por procesos de calidad baacutesicos o ninguno
Cada evaluacioacuten de riesgo de Virtual Forge abarca todo y uacutenicamente el coacutedigo cliente del sistema
Todas las meacutetricas de anaacutelisis se han calculado mediante Virtual Forge CodeProfiler
6
Las siguientes paacuteginas contienen algunos datos estadiacutesticos
sorprendentes sobre la calidad del coacutedigo ABAP en cuanto a seguridad
cumplimiento regulatorio rendimiento y robustez
Novedades
Gracias a la contribucioacuten de 89 nuevas empresas con sus estadiacutesticas
anoacutenimas ahora disponemos de una base de 306 anaacutelisis completos de
coacutedigo ABAP de cliente sobre la que fundamentamos nuestra
investigacioacuten
Los aspectos de calidad de rendimiento y robustez no se incluyeron en
la evaluacioacuten comparativa desde un principio Por consiguiente sus
estadiacutesticas fluctuacutean algo maacutes que las estadiacutesticas de seguridad y
cumplimiento regulatorio
7
Estadiacutesticas Generales
Esta seccioacuten proporciona informacioacuten general sobre el coacutedigo analizado
La cantidad total de coacutedigo analizado es de 603026299
liacuteneas de coacutedigo distribuido en 306 sistemas de distintos
clientes
1 Nuacutemero medio de liacuteneas de coacutedigo por sistema de cliente
1970674
Suponer que las empresas utilizan el estaacutendar tal cual es un
mito Las empresas tienen una enorme cantidad de coacutedigo
propio activo sin ninguacuten tipo de control de calidad de coacutedigo
(Las liacuteneas de coacutedigo fuente son reales Comentarios y
liacuteneas en blanco no han sido considerados)
2 El objeto de modularizacioacuten maacutes comuacuten del coacutedigo cliente
son los forms (62 ) seguida de los meacutetodos (19 )
Esto significa que la mayor parte de la funcionalidad del coacutedigo cliente no puede ser reutilizada Similares requisitos funcionales deben ser reescritos e implementados una y otra vez (En el estaacutendar de SAP la proporcioacuten es la inversa 70 meacutetodos 19 forms)
8
3 En teacutermino medio las aplicaciones de cliente procesan
12807 fuentes de entrada por sistema
Cada fuente de entrada es un riesgo potencial de seguridad y
contribuye a la superficie de ataque de un sistema SAP
(Un SAP ECC 60 estaacutendar tiene 442 254 fuentes de entrada)
4 El 78 de todas las entradas procesadas por aplicaciones
cliente provienen de SAP GUI
El 19 de todas las entradas procesadas por aplicaciones
cliente provienen de RFC
En consecuencia eventuales acciones malintencionadas de
internos pueden aprovechar debilidades de aplicaciones SAP
con mayor facilidad que externos
(En SAP ECC 60 estaacutendar el 66 de las entradas provienen
de moacutedulos RFC y el 30 de las aplicaciones de SAP GUI)
5 El nuacutemero detectado de problemas de calidad en la
implementacioacuten de queries el mayor que el nuacutemero de
queries mismas
Los desarrolladores tienen importantes carencias de
conocimientos en relacioacuten con el acceso a bases de datos
que las iniciativas de control de calidad no son capaces de
controlar
Hay una media de 23313 consultas SQL abiertas en el
coacutedigo cliente por sistema (20007 en acceso de lectura y
3306 en acceso de escritura)
Hay una media de 28814 errores de calidad en el acceso a
bases de datos por sistema de cliente (Entre los errores de
calidad se incluyen problemas de rendimiento robustez
seguridad cumplimiento regulatorio y mantenimiento)
9
6 En el 20 de los casos el acceso a bases de datos genera
problemas de calidad criacuteticos
Esto significa que el coacutedigo de cliente expone los datos
empresariales a riesgos graves
Hay una media de
4747 errores de calidad criacuteticos
en el acceso a bases de datos por sistema de cliente
Entre los problemas de calidad se incluyen rendimiento
robustez seguridad compliance y mantenimiento
7 Solo el 03 de los moacutedulos ABAP estaacuten web-facing
Esto significa que deberiacutea definirse un enfoque educativo
formativo en las teacutecnicas de desarrollo ABAP tradicionales
Tambieacuten significa que las soluciones de seguridad basadas
en la web como los firewalls de aplicaciones web resultan
insuficientes para proteger las aplicaciones de SAP
10
Estad Seguridad amp Compliance
Esta seccioacuten proporciona informacioacuten especiacutefica sobre los problemas de
seguridad y conformidad del coacutedigo analizado Entre estos se incluyen
defectos de seguridad (no deliberados) y desviaciones intencionadas en
los mecanismos de seguridad estaacutendar de SAP
1 Hay 11 problemas de seguridadcompliance criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que un sistema tiacutepico tiene 2197 problemas de
seguridadconformidad en el coacutedigo cliente Uno solo de estos
problemas puede causar dantildeos importantes a una empresa
Los 5 tipos de problemas de seguridadcompliance maacutes
criacuteticos localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Fallo de autorizacioacuten 99 976
Acceso transversal a carpetas 91 294
Modific directa en base de datos 86 38
Acceso multi-cliente 80 141
Inyeccioacuten SQL abierta 66 15
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
11
Por sistema hay 428 moacutedulos de funciones
habilitados para RFC
68 de estos moacutedulo carecen completamente de
comprobaciones de autorizacioacuten
2 A parte del conjunto de problemas criacuteticos hay una media por
sistema de 16 vulnerabilidades tan graves que un uacutenico
exploit comprometa totalmente la seguridad del sistema
Un atacante obtiene acceso completo a todos los datos em-
presariales aprovechando una sola de estas vulnerabilidades
3 En promedio hay por sistema 160 comprobaciones propias
de autorizacioacuten basadas en sy-uname La probabilidad de
encontrar comprobaciones propias de autorizacioacuten es 90
Esto significa que existe una elevada probabilidad de
encontrar puertas traseras en los sistemas SAP
Esto significa que el coacutedigo cliente contiene gran
cantidad de loacutegica de negocio ejecutable remotamente
y sin proteccioacuten adecuada
12
4 La probabilidad que se transfiera funcionalidad oculta a los
sistemas SAP a traveacutes de aplicaciones cliente es del 81
En promedio hay 127 instancias de funcionalidad oculta
por sistema
Esto significa que el coacutedigo cliente contiene una cantidad
considerable de funcionalidad que no pertenece a la loacutegica de
negocio esperada y que no se pone a prueba debido a su
naturaleza oculta
Esta funcionalidad oculta puede contener puertas traseras
5 Hay 428 moacutedulos de funciones habilitados para RFC por
sistema El 68 de los mismos carecen completamente de
comprobaciones de autorizacioacuten
Esto significa que el coacutedigo de cliente contiene gran cantidad
de loacutegica de negocio ejecutable de forma remota que no estaacute
bien protegida
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
2
Informe de referencia
de
coacutedigo cliente
2016
Lo que toda empresa debiese saber
sobre su coacutedigo ABAPreg
Virtual Forge
eBook
3
Acerca del autor
Andreas Wiegenstein es consultor de seguridad de SAP desde 2003 Ha
realizado incontables auditoriacuteas de seguridad SAP y recibido
reconocimiento por maacutes de 75 parches de seguridad relacionados con
vulnerabilidades por eacutel detectadas en varios productos SAP
CTO de Virtual Forge lidera el
equipo de Research amp Innovation
equipo dedicado al estudio
especiacutefico de seguridad en
sistemas SAP
Andreas ha impartido formacioacuten
sobre seguridad SAP en grandes
empresas y organizaciones de
defensa y participado en muacuteltiples
conferencias especiacuteficas de SAP
tales como TechEd o SAPience
asiacute como en conferencias sobre seguridad informaacutetica tales como
Troopers Black Hat HITB IT Defense DeepSec y RSA Ha investigado
los principales 20 riesgos ABAP publicados por el Servicio Federal
Alemaacuten de Seguridad de la Informacioacuten (BSI) es coautor del primer libro
sobre seguridad ABAP (SAP Press 2009) y ha escrito el capiacutetulo sobre
seguridad de la guiacutea de mejores praacutecticas en ABAP Grupo de Usuarios
SAP de habla alemana (DSAG) Andreas es ademaacutes miembro de
BIZECorg comunidad dedicada al estudio de la seguridad en
soluciones informaacuteticas empresariales
Siga a Andreas en twitter codeprofiler
4
Iacutendice
Resumen 5
Estadiacutesticas Generales 7
Estadiacutesticas de Seguridad y Compliance 10
Estadiacutesticas de Rendimiento 14
Estadiacutesticas de Robustez 16
Observaciones Finales 18
5
5
Resumen
Praacutecticamente todos los clientes de SAPreg con el fin de adaptar la
solucioacuten estaacutendar a sus requerimientos especificos escriben su propio
coacutedigo ABAPreg Algunas empresas incluso han desarrollado su coacutedigo
cliente a lo largo de deacutecadas
iquestCuaacutel es la cantidad de coacutedigo cliente de una organizacioacuten
Y lo que es maacutes importante
iquestQueacute calidad tiene este coacutedigo cliente
Preguntas fundamentales que sin embargo pocas empresas son
capaces de responder
Virtual Forge lleva muchos antildeos realizando evaluaciones de riesgo
sobre coacutedigo ABAP en cientos de sistemas SAP distribuidos en una
amplia gama de clientes Estos resultados analizados a partir de
meacutetricas claves le han permitido establecer un marco referencial para
la calidad media del coacutedigo cliente de un sistema SAP
Virtual Forge es la primera empresa en publicar un anaacutelisis referencial
de calidad del coacutedigo cliente ABAP establecieacutendose como marco de
referencia global para toda implementacioacuten de sistemas SAP
Informacioacuten sobre el coacutedigo analizado
La totalidad del coacutedigo analizado no ha recibido ninguna atencioacuten especial en cuanto a la calidad es decir solo ha pasado por procesos de calidad baacutesicos o ninguno
Cada evaluacioacuten de riesgo de Virtual Forge abarca todo y uacutenicamente el coacutedigo cliente del sistema
Todas las meacutetricas de anaacutelisis se han calculado mediante Virtual Forge CodeProfiler
6
Las siguientes paacuteginas contienen algunos datos estadiacutesticos
sorprendentes sobre la calidad del coacutedigo ABAP en cuanto a seguridad
cumplimiento regulatorio rendimiento y robustez
Novedades
Gracias a la contribucioacuten de 89 nuevas empresas con sus estadiacutesticas
anoacutenimas ahora disponemos de una base de 306 anaacutelisis completos de
coacutedigo ABAP de cliente sobre la que fundamentamos nuestra
investigacioacuten
Los aspectos de calidad de rendimiento y robustez no se incluyeron en
la evaluacioacuten comparativa desde un principio Por consiguiente sus
estadiacutesticas fluctuacutean algo maacutes que las estadiacutesticas de seguridad y
cumplimiento regulatorio
7
Estadiacutesticas Generales
Esta seccioacuten proporciona informacioacuten general sobre el coacutedigo analizado
La cantidad total de coacutedigo analizado es de 603026299
liacuteneas de coacutedigo distribuido en 306 sistemas de distintos
clientes
1 Nuacutemero medio de liacuteneas de coacutedigo por sistema de cliente
1970674
Suponer que las empresas utilizan el estaacutendar tal cual es un
mito Las empresas tienen una enorme cantidad de coacutedigo
propio activo sin ninguacuten tipo de control de calidad de coacutedigo
(Las liacuteneas de coacutedigo fuente son reales Comentarios y
liacuteneas en blanco no han sido considerados)
2 El objeto de modularizacioacuten maacutes comuacuten del coacutedigo cliente
son los forms (62 ) seguida de los meacutetodos (19 )
Esto significa que la mayor parte de la funcionalidad del coacutedigo cliente no puede ser reutilizada Similares requisitos funcionales deben ser reescritos e implementados una y otra vez (En el estaacutendar de SAP la proporcioacuten es la inversa 70 meacutetodos 19 forms)
8
3 En teacutermino medio las aplicaciones de cliente procesan
12807 fuentes de entrada por sistema
Cada fuente de entrada es un riesgo potencial de seguridad y
contribuye a la superficie de ataque de un sistema SAP
(Un SAP ECC 60 estaacutendar tiene 442 254 fuentes de entrada)
4 El 78 de todas las entradas procesadas por aplicaciones
cliente provienen de SAP GUI
El 19 de todas las entradas procesadas por aplicaciones
cliente provienen de RFC
En consecuencia eventuales acciones malintencionadas de
internos pueden aprovechar debilidades de aplicaciones SAP
con mayor facilidad que externos
(En SAP ECC 60 estaacutendar el 66 de las entradas provienen
de moacutedulos RFC y el 30 de las aplicaciones de SAP GUI)
5 El nuacutemero detectado de problemas de calidad en la
implementacioacuten de queries el mayor que el nuacutemero de
queries mismas
Los desarrolladores tienen importantes carencias de
conocimientos en relacioacuten con el acceso a bases de datos
que las iniciativas de control de calidad no son capaces de
controlar
Hay una media de 23313 consultas SQL abiertas en el
coacutedigo cliente por sistema (20007 en acceso de lectura y
3306 en acceso de escritura)
Hay una media de 28814 errores de calidad en el acceso a
bases de datos por sistema de cliente (Entre los errores de
calidad se incluyen problemas de rendimiento robustez
seguridad cumplimiento regulatorio y mantenimiento)
9
6 En el 20 de los casos el acceso a bases de datos genera
problemas de calidad criacuteticos
Esto significa que el coacutedigo de cliente expone los datos
empresariales a riesgos graves
Hay una media de
4747 errores de calidad criacuteticos
en el acceso a bases de datos por sistema de cliente
Entre los problemas de calidad se incluyen rendimiento
robustez seguridad compliance y mantenimiento
7 Solo el 03 de los moacutedulos ABAP estaacuten web-facing
Esto significa que deberiacutea definirse un enfoque educativo
formativo en las teacutecnicas de desarrollo ABAP tradicionales
Tambieacuten significa que las soluciones de seguridad basadas
en la web como los firewalls de aplicaciones web resultan
insuficientes para proteger las aplicaciones de SAP
10
Estad Seguridad amp Compliance
Esta seccioacuten proporciona informacioacuten especiacutefica sobre los problemas de
seguridad y conformidad del coacutedigo analizado Entre estos se incluyen
defectos de seguridad (no deliberados) y desviaciones intencionadas en
los mecanismos de seguridad estaacutendar de SAP
1 Hay 11 problemas de seguridadcompliance criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que un sistema tiacutepico tiene 2197 problemas de
seguridadconformidad en el coacutedigo cliente Uno solo de estos
problemas puede causar dantildeos importantes a una empresa
Los 5 tipos de problemas de seguridadcompliance maacutes
criacuteticos localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Fallo de autorizacioacuten 99 976
Acceso transversal a carpetas 91 294
Modific directa en base de datos 86 38
Acceso multi-cliente 80 141
Inyeccioacuten SQL abierta 66 15
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
11
Por sistema hay 428 moacutedulos de funciones
habilitados para RFC
68 de estos moacutedulo carecen completamente de
comprobaciones de autorizacioacuten
2 A parte del conjunto de problemas criacuteticos hay una media por
sistema de 16 vulnerabilidades tan graves que un uacutenico
exploit comprometa totalmente la seguridad del sistema
Un atacante obtiene acceso completo a todos los datos em-
presariales aprovechando una sola de estas vulnerabilidades
3 En promedio hay por sistema 160 comprobaciones propias
de autorizacioacuten basadas en sy-uname La probabilidad de
encontrar comprobaciones propias de autorizacioacuten es 90
Esto significa que existe una elevada probabilidad de
encontrar puertas traseras en los sistemas SAP
Esto significa que el coacutedigo cliente contiene gran
cantidad de loacutegica de negocio ejecutable remotamente
y sin proteccioacuten adecuada
12
4 La probabilidad que se transfiera funcionalidad oculta a los
sistemas SAP a traveacutes de aplicaciones cliente es del 81
En promedio hay 127 instancias de funcionalidad oculta
por sistema
Esto significa que el coacutedigo cliente contiene una cantidad
considerable de funcionalidad que no pertenece a la loacutegica de
negocio esperada y que no se pone a prueba debido a su
naturaleza oculta
Esta funcionalidad oculta puede contener puertas traseras
5 Hay 428 moacutedulos de funciones habilitados para RFC por
sistema El 68 de los mismos carecen completamente de
comprobaciones de autorizacioacuten
Esto significa que el coacutedigo de cliente contiene gran cantidad
de loacutegica de negocio ejecutable de forma remota que no estaacute
bien protegida
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
3
Acerca del autor
Andreas Wiegenstein es consultor de seguridad de SAP desde 2003 Ha
realizado incontables auditoriacuteas de seguridad SAP y recibido
reconocimiento por maacutes de 75 parches de seguridad relacionados con
vulnerabilidades por eacutel detectadas en varios productos SAP
CTO de Virtual Forge lidera el
equipo de Research amp Innovation
equipo dedicado al estudio
especiacutefico de seguridad en
sistemas SAP
Andreas ha impartido formacioacuten
sobre seguridad SAP en grandes
empresas y organizaciones de
defensa y participado en muacuteltiples
conferencias especiacuteficas de SAP
tales como TechEd o SAPience
asiacute como en conferencias sobre seguridad informaacutetica tales como
Troopers Black Hat HITB IT Defense DeepSec y RSA Ha investigado
los principales 20 riesgos ABAP publicados por el Servicio Federal
Alemaacuten de Seguridad de la Informacioacuten (BSI) es coautor del primer libro
sobre seguridad ABAP (SAP Press 2009) y ha escrito el capiacutetulo sobre
seguridad de la guiacutea de mejores praacutecticas en ABAP Grupo de Usuarios
SAP de habla alemana (DSAG) Andreas es ademaacutes miembro de
BIZECorg comunidad dedicada al estudio de la seguridad en
soluciones informaacuteticas empresariales
Siga a Andreas en twitter codeprofiler
4
Iacutendice
Resumen 5
Estadiacutesticas Generales 7
Estadiacutesticas de Seguridad y Compliance 10
Estadiacutesticas de Rendimiento 14
Estadiacutesticas de Robustez 16
Observaciones Finales 18
5
5
Resumen
Praacutecticamente todos los clientes de SAPreg con el fin de adaptar la
solucioacuten estaacutendar a sus requerimientos especificos escriben su propio
coacutedigo ABAPreg Algunas empresas incluso han desarrollado su coacutedigo
cliente a lo largo de deacutecadas
iquestCuaacutel es la cantidad de coacutedigo cliente de una organizacioacuten
Y lo que es maacutes importante
iquestQueacute calidad tiene este coacutedigo cliente
Preguntas fundamentales que sin embargo pocas empresas son
capaces de responder
Virtual Forge lleva muchos antildeos realizando evaluaciones de riesgo
sobre coacutedigo ABAP en cientos de sistemas SAP distribuidos en una
amplia gama de clientes Estos resultados analizados a partir de
meacutetricas claves le han permitido establecer un marco referencial para
la calidad media del coacutedigo cliente de un sistema SAP
Virtual Forge es la primera empresa en publicar un anaacutelisis referencial
de calidad del coacutedigo cliente ABAP establecieacutendose como marco de
referencia global para toda implementacioacuten de sistemas SAP
Informacioacuten sobre el coacutedigo analizado
La totalidad del coacutedigo analizado no ha recibido ninguna atencioacuten especial en cuanto a la calidad es decir solo ha pasado por procesos de calidad baacutesicos o ninguno
Cada evaluacioacuten de riesgo de Virtual Forge abarca todo y uacutenicamente el coacutedigo cliente del sistema
Todas las meacutetricas de anaacutelisis se han calculado mediante Virtual Forge CodeProfiler
6
Las siguientes paacuteginas contienen algunos datos estadiacutesticos
sorprendentes sobre la calidad del coacutedigo ABAP en cuanto a seguridad
cumplimiento regulatorio rendimiento y robustez
Novedades
Gracias a la contribucioacuten de 89 nuevas empresas con sus estadiacutesticas
anoacutenimas ahora disponemos de una base de 306 anaacutelisis completos de
coacutedigo ABAP de cliente sobre la que fundamentamos nuestra
investigacioacuten
Los aspectos de calidad de rendimiento y robustez no se incluyeron en
la evaluacioacuten comparativa desde un principio Por consiguiente sus
estadiacutesticas fluctuacutean algo maacutes que las estadiacutesticas de seguridad y
cumplimiento regulatorio
7
Estadiacutesticas Generales
Esta seccioacuten proporciona informacioacuten general sobre el coacutedigo analizado
La cantidad total de coacutedigo analizado es de 603026299
liacuteneas de coacutedigo distribuido en 306 sistemas de distintos
clientes
1 Nuacutemero medio de liacuteneas de coacutedigo por sistema de cliente
1970674
Suponer que las empresas utilizan el estaacutendar tal cual es un
mito Las empresas tienen una enorme cantidad de coacutedigo
propio activo sin ninguacuten tipo de control de calidad de coacutedigo
(Las liacuteneas de coacutedigo fuente son reales Comentarios y
liacuteneas en blanco no han sido considerados)
2 El objeto de modularizacioacuten maacutes comuacuten del coacutedigo cliente
son los forms (62 ) seguida de los meacutetodos (19 )
Esto significa que la mayor parte de la funcionalidad del coacutedigo cliente no puede ser reutilizada Similares requisitos funcionales deben ser reescritos e implementados una y otra vez (En el estaacutendar de SAP la proporcioacuten es la inversa 70 meacutetodos 19 forms)
8
3 En teacutermino medio las aplicaciones de cliente procesan
12807 fuentes de entrada por sistema
Cada fuente de entrada es un riesgo potencial de seguridad y
contribuye a la superficie de ataque de un sistema SAP
(Un SAP ECC 60 estaacutendar tiene 442 254 fuentes de entrada)
4 El 78 de todas las entradas procesadas por aplicaciones
cliente provienen de SAP GUI
El 19 de todas las entradas procesadas por aplicaciones
cliente provienen de RFC
En consecuencia eventuales acciones malintencionadas de
internos pueden aprovechar debilidades de aplicaciones SAP
con mayor facilidad que externos
(En SAP ECC 60 estaacutendar el 66 de las entradas provienen
de moacutedulos RFC y el 30 de las aplicaciones de SAP GUI)
5 El nuacutemero detectado de problemas de calidad en la
implementacioacuten de queries el mayor que el nuacutemero de
queries mismas
Los desarrolladores tienen importantes carencias de
conocimientos en relacioacuten con el acceso a bases de datos
que las iniciativas de control de calidad no son capaces de
controlar
Hay una media de 23313 consultas SQL abiertas en el
coacutedigo cliente por sistema (20007 en acceso de lectura y
3306 en acceso de escritura)
Hay una media de 28814 errores de calidad en el acceso a
bases de datos por sistema de cliente (Entre los errores de
calidad se incluyen problemas de rendimiento robustez
seguridad cumplimiento regulatorio y mantenimiento)
9
6 En el 20 de los casos el acceso a bases de datos genera
problemas de calidad criacuteticos
Esto significa que el coacutedigo de cliente expone los datos
empresariales a riesgos graves
Hay una media de
4747 errores de calidad criacuteticos
en el acceso a bases de datos por sistema de cliente
Entre los problemas de calidad se incluyen rendimiento
robustez seguridad compliance y mantenimiento
7 Solo el 03 de los moacutedulos ABAP estaacuten web-facing
Esto significa que deberiacutea definirse un enfoque educativo
formativo en las teacutecnicas de desarrollo ABAP tradicionales
Tambieacuten significa que las soluciones de seguridad basadas
en la web como los firewalls de aplicaciones web resultan
insuficientes para proteger las aplicaciones de SAP
10
Estad Seguridad amp Compliance
Esta seccioacuten proporciona informacioacuten especiacutefica sobre los problemas de
seguridad y conformidad del coacutedigo analizado Entre estos se incluyen
defectos de seguridad (no deliberados) y desviaciones intencionadas en
los mecanismos de seguridad estaacutendar de SAP
1 Hay 11 problemas de seguridadcompliance criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que un sistema tiacutepico tiene 2197 problemas de
seguridadconformidad en el coacutedigo cliente Uno solo de estos
problemas puede causar dantildeos importantes a una empresa
Los 5 tipos de problemas de seguridadcompliance maacutes
criacuteticos localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Fallo de autorizacioacuten 99 976
Acceso transversal a carpetas 91 294
Modific directa en base de datos 86 38
Acceso multi-cliente 80 141
Inyeccioacuten SQL abierta 66 15
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
11
Por sistema hay 428 moacutedulos de funciones
habilitados para RFC
68 de estos moacutedulo carecen completamente de
comprobaciones de autorizacioacuten
2 A parte del conjunto de problemas criacuteticos hay una media por
sistema de 16 vulnerabilidades tan graves que un uacutenico
exploit comprometa totalmente la seguridad del sistema
Un atacante obtiene acceso completo a todos los datos em-
presariales aprovechando una sola de estas vulnerabilidades
3 En promedio hay por sistema 160 comprobaciones propias
de autorizacioacuten basadas en sy-uname La probabilidad de
encontrar comprobaciones propias de autorizacioacuten es 90
Esto significa que existe una elevada probabilidad de
encontrar puertas traseras en los sistemas SAP
Esto significa que el coacutedigo cliente contiene gran
cantidad de loacutegica de negocio ejecutable remotamente
y sin proteccioacuten adecuada
12
4 La probabilidad que se transfiera funcionalidad oculta a los
sistemas SAP a traveacutes de aplicaciones cliente es del 81
En promedio hay 127 instancias de funcionalidad oculta
por sistema
Esto significa que el coacutedigo cliente contiene una cantidad
considerable de funcionalidad que no pertenece a la loacutegica de
negocio esperada y que no se pone a prueba debido a su
naturaleza oculta
Esta funcionalidad oculta puede contener puertas traseras
5 Hay 428 moacutedulos de funciones habilitados para RFC por
sistema El 68 de los mismos carecen completamente de
comprobaciones de autorizacioacuten
Esto significa que el coacutedigo de cliente contiene gran cantidad
de loacutegica de negocio ejecutable de forma remota que no estaacute
bien protegida
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
4
Iacutendice
Resumen 5
Estadiacutesticas Generales 7
Estadiacutesticas de Seguridad y Compliance 10
Estadiacutesticas de Rendimiento 14
Estadiacutesticas de Robustez 16
Observaciones Finales 18
5
5
Resumen
Praacutecticamente todos los clientes de SAPreg con el fin de adaptar la
solucioacuten estaacutendar a sus requerimientos especificos escriben su propio
coacutedigo ABAPreg Algunas empresas incluso han desarrollado su coacutedigo
cliente a lo largo de deacutecadas
iquestCuaacutel es la cantidad de coacutedigo cliente de una organizacioacuten
Y lo que es maacutes importante
iquestQueacute calidad tiene este coacutedigo cliente
Preguntas fundamentales que sin embargo pocas empresas son
capaces de responder
Virtual Forge lleva muchos antildeos realizando evaluaciones de riesgo
sobre coacutedigo ABAP en cientos de sistemas SAP distribuidos en una
amplia gama de clientes Estos resultados analizados a partir de
meacutetricas claves le han permitido establecer un marco referencial para
la calidad media del coacutedigo cliente de un sistema SAP
Virtual Forge es la primera empresa en publicar un anaacutelisis referencial
de calidad del coacutedigo cliente ABAP establecieacutendose como marco de
referencia global para toda implementacioacuten de sistemas SAP
Informacioacuten sobre el coacutedigo analizado
La totalidad del coacutedigo analizado no ha recibido ninguna atencioacuten especial en cuanto a la calidad es decir solo ha pasado por procesos de calidad baacutesicos o ninguno
Cada evaluacioacuten de riesgo de Virtual Forge abarca todo y uacutenicamente el coacutedigo cliente del sistema
Todas las meacutetricas de anaacutelisis se han calculado mediante Virtual Forge CodeProfiler
6
Las siguientes paacuteginas contienen algunos datos estadiacutesticos
sorprendentes sobre la calidad del coacutedigo ABAP en cuanto a seguridad
cumplimiento regulatorio rendimiento y robustez
Novedades
Gracias a la contribucioacuten de 89 nuevas empresas con sus estadiacutesticas
anoacutenimas ahora disponemos de una base de 306 anaacutelisis completos de
coacutedigo ABAP de cliente sobre la que fundamentamos nuestra
investigacioacuten
Los aspectos de calidad de rendimiento y robustez no se incluyeron en
la evaluacioacuten comparativa desde un principio Por consiguiente sus
estadiacutesticas fluctuacutean algo maacutes que las estadiacutesticas de seguridad y
cumplimiento regulatorio
7
Estadiacutesticas Generales
Esta seccioacuten proporciona informacioacuten general sobre el coacutedigo analizado
La cantidad total de coacutedigo analizado es de 603026299
liacuteneas de coacutedigo distribuido en 306 sistemas de distintos
clientes
1 Nuacutemero medio de liacuteneas de coacutedigo por sistema de cliente
1970674
Suponer que las empresas utilizan el estaacutendar tal cual es un
mito Las empresas tienen una enorme cantidad de coacutedigo
propio activo sin ninguacuten tipo de control de calidad de coacutedigo
(Las liacuteneas de coacutedigo fuente son reales Comentarios y
liacuteneas en blanco no han sido considerados)
2 El objeto de modularizacioacuten maacutes comuacuten del coacutedigo cliente
son los forms (62 ) seguida de los meacutetodos (19 )
Esto significa que la mayor parte de la funcionalidad del coacutedigo cliente no puede ser reutilizada Similares requisitos funcionales deben ser reescritos e implementados una y otra vez (En el estaacutendar de SAP la proporcioacuten es la inversa 70 meacutetodos 19 forms)
8
3 En teacutermino medio las aplicaciones de cliente procesan
12807 fuentes de entrada por sistema
Cada fuente de entrada es un riesgo potencial de seguridad y
contribuye a la superficie de ataque de un sistema SAP
(Un SAP ECC 60 estaacutendar tiene 442 254 fuentes de entrada)
4 El 78 de todas las entradas procesadas por aplicaciones
cliente provienen de SAP GUI
El 19 de todas las entradas procesadas por aplicaciones
cliente provienen de RFC
En consecuencia eventuales acciones malintencionadas de
internos pueden aprovechar debilidades de aplicaciones SAP
con mayor facilidad que externos
(En SAP ECC 60 estaacutendar el 66 de las entradas provienen
de moacutedulos RFC y el 30 de las aplicaciones de SAP GUI)
5 El nuacutemero detectado de problemas de calidad en la
implementacioacuten de queries el mayor que el nuacutemero de
queries mismas
Los desarrolladores tienen importantes carencias de
conocimientos en relacioacuten con el acceso a bases de datos
que las iniciativas de control de calidad no son capaces de
controlar
Hay una media de 23313 consultas SQL abiertas en el
coacutedigo cliente por sistema (20007 en acceso de lectura y
3306 en acceso de escritura)
Hay una media de 28814 errores de calidad en el acceso a
bases de datos por sistema de cliente (Entre los errores de
calidad se incluyen problemas de rendimiento robustez
seguridad cumplimiento regulatorio y mantenimiento)
9
6 En el 20 de los casos el acceso a bases de datos genera
problemas de calidad criacuteticos
Esto significa que el coacutedigo de cliente expone los datos
empresariales a riesgos graves
Hay una media de
4747 errores de calidad criacuteticos
en el acceso a bases de datos por sistema de cliente
Entre los problemas de calidad se incluyen rendimiento
robustez seguridad compliance y mantenimiento
7 Solo el 03 de los moacutedulos ABAP estaacuten web-facing
Esto significa que deberiacutea definirse un enfoque educativo
formativo en las teacutecnicas de desarrollo ABAP tradicionales
Tambieacuten significa que las soluciones de seguridad basadas
en la web como los firewalls de aplicaciones web resultan
insuficientes para proteger las aplicaciones de SAP
10
Estad Seguridad amp Compliance
Esta seccioacuten proporciona informacioacuten especiacutefica sobre los problemas de
seguridad y conformidad del coacutedigo analizado Entre estos se incluyen
defectos de seguridad (no deliberados) y desviaciones intencionadas en
los mecanismos de seguridad estaacutendar de SAP
1 Hay 11 problemas de seguridadcompliance criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que un sistema tiacutepico tiene 2197 problemas de
seguridadconformidad en el coacutedigo cliente Uno solo de estos
problemas puede causar dantildeos importantes a una empresa
Los 5 tipos de problemas de seguridadcompliance maacutes
criacuteticos localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Fallo de autorizacioacuten 99 976
Acceso transversal a carpetas 91 294
Modific directa en base de datos 86 38
Acceso multi-cliente 80 141
Inyeccioacuten SQL abierta 66 15
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
11
Por sistema hay 428 moacutedulos de funciones
habilitados para RFC
68 de estos moacutedulo carecen completamente de
comprobaciones de autorizacioacuten
2 A parte del conjunto de problemas criacuteticos hay una media por
sistema de 16 vulnerabilidades tan graves que un uacutenico
exploit comprometa totalmente la seguridad del sistema
Un atacante obtiene acceso completo a todos los datos em-
presariales aprovechando una sola de estas vulnerabilidades
3 En promedio hay por sistema 160 comprobaciones propias
de autorizacioacuten basadas en sy-uname La probabilidad de
encontrar comprobaciones propias de autorizacioacuten es 90
Esto significa que existe una elevada probabilidad de
encontrar puertas traseras en los sistemas SAP
Esto significa que el coacutedigo cliente contiene gran
cantidad de loacutegica de negocio ejecutable remotamente
y sin proteccioacuten adecuada
12
4 La probabilidad que se transfiera funcionalidad oculta a los
sistemas SAP a traveacutes de aplicaciones cliente es del 81
En promedio hay 127 instancias de funcionalidad oculta
por sistema
Esto significa que el coacutedigo cliente contiene una cantidad
considerable de funcionalidad que no pertenece a la loacutegica de
negocio esperada y que no se pone a prueba debido a su
naturaleza oculta
Esta funcionalidad oculta puede contener puertas traseras
5 Hay 428 moacutedulos de funciones habilitados para RFC por
sistema El 68 de los mismos carecen completamente de
comprobaciones de autorizacioacuten
Esto significa que el coacutedigo de cliente contiene gran cantidad
de loacutegica de negocio ejecutable de forma remota que no estaacute
bien protegida
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
5
5
Resumen
Praacutecticamente todos los clientes de SAPreg con el fin de adaptar la
solucioacuten estaacutendar a sus requerimientos especificos escriben su propio
coacutedigo ABAPreg Algunas empresas incluso han desarrollado su coacutedigo
cliente a lo largo de deacutecadas
iquestCuaacutel es la cantidad de coacutedigo cliente de una organizacioacuten
Y lo que es maacutes importante
iquestQueacute calidad tiene este coacutedigo cliente
Preguntas fundamentales que sin embargo pocas empresas son
capaces de responder
Virtual Forge lleva muchos antildeos realizando evaluaciones de riesgo
sobre coacutedigo ABAP en cientos de sistemas SAP distribuidos en una
amplia gama de clientes Estos resultados analizados a partir de
meacutetricas claves le han permitido establecer un marco referencial para
la calidad media del coacutedigo cliente de un sistema SAP
Virtual Forge es la primera empresa en publicar un anaacutelisis referencial
de calidad del coacutedigo cliente ABAP establecieacutendose como marco de
referencia global para toda implementacioacuten de sistemas SAP
Informacioacuten sobre el coacutedigo analizado
La totalidad del coacutedigo analizado no ha recibido ninguna atencioacuten especial en cuanto a la calidad es decir solo ha pasado por procesos de calidad baacutesicos o ninguno
Cada evaluacioacuten de riesgo de Virtual Forge abarca todo y uacutenicamente el coacutedigo cliente del sistema
Todas las meacutetricas de anaacutelisis se han calculado mediante Virtual Forge CodeProfiler
6
Las siguientes paacuteginas contienen algunos datos estadiacutesticos
sorprendentes sobre la calidad del coacutedigo ABAP en cuanto a seguridad
cumplimiento regulatorio rendimiento y robustez
Novedades
Gracias a la contribucioacuten de 89 nuevas empresas con sus estadiacutesticas
anoacutenimas ahora disponemos de una base de 306 anaacutelisis completos de
coacutedigo ABAP de cliente sobre la que fundamentamos nuestra
investigacioacuten
Los aspectos de calidad de rendimiento y robustez no se incluyeron en
la evaluacioacuten comparativa desde un principio Por consiguiente sus
estadiacutesticas fluctuacutean algo maacutes que las estadiacutesticas de seguridad y
cumplimiento regulatorio
7
Estadiacutesticas Generales
Esta seccioacuten proporciona informacioacuten general sobre el coacutedigo analizado
La cantidad total de coacutedigo analizado es de 603026299
liacuteneas de coacutedigo distribuido en 306 sistemas de distintos
clientes
1 Nuacutemero medio de liacuteneas de coacutedigo por sistema de cliente
1970674
Suponer que las empresas utilizan el estaacutendar tal cual es un
mito Las empresas tienen una enorme cantidad de coacutedigo
propio activo sin ninguacuten tipo de control de calidad de coacutedigo
(Las liacuteneas de coacutedigo fuente son reales Comentarios y
liacuteneas en blanco no han sido considerados)
2 El objeto de modularizacioacuten maacutes comuacuten del coacutedigo cliente
son los forms (62 ) seguida de los meacutetodos (19 )
Esto significa que la mayor parte de la funcionalidad del coacutedigo cliente no puede ser reutilizada Similares requisitos funcionales deben ser reescritos e implementados una y otra vez (En el estaacutendar de SAP la proporcioacuten es la inversa 70 meacutetodos 19 forms)
8
3 En teacutermino medio las aplicaciones de cliente procesan
12807 fuentes de entrada por sistema
Cada fuente de entrada es un riesgo potencial de seguridad y
contribuye a la superficie de ataque de un sistema SAP
(Un SAP ECC 60 estaacutendar tiene 442 254 fuentes de entrada)
4 El 78 de todas las entradas procesadas por aplicaciones
cliente provienen de SAP GUI
El 19 de todas las entradas procesadas por aplicaciones
cliente provienen de RFC
En consecuencia eventuales acciones malintencionadas de
internos pueden aprovechar debilidades de aplicaciones SAP
con mayor facilidad que externos
(En SAP ECC 60 estaacutendar el 66 de las entradas provienen
de moacutedulos RFC y el 30 de las aplicaciones de SAP GUI)
5 El nuacutemero detectado de problemas de calidad en la
implementacioacuten de queries el mayor que el nuacutemero de
queries mismas
Los desarrolladores tienen importantes carencias de
conocimientos en relacioacuten con el acceso a bases de datos
que las iniciativas de control de calidad no son capaces de
controlar
Hay una media de 23313 consultas SQL abiertas en el
coacutedigo cliente por sistema (20007 en acceso de lectura y
3306 en acceso de escritura)
Hay una media de 28814 errores de calidad en el acceso a
bases de datos por sistema de cliente (Entre los errores de
calidad se incluyen problemas de rendimiento robustez
seguridad cumplimiento regulatorio y mantenimiento)
9
6 En el 20 de los casos el acceso a bases de datos genera
problemas de calidad criacuteticos
Esto significa que el coacutedigo de cliente expone los datos
empresariales a riesgos graves
Hay una media de
4747 errores de calidad criacuteticos
en el acceso a bases de datos por sistema de cliente
Entre los problemas de calidad se incluyen rendimiento
robustez seguridad compliance y mantenimiento
7 Solo el 03 de los moacutedulos ABAP estaacuten web-facing
Esto significa que deberiacutea definirse un enfoque educativo
formativo en las teacutecnicas de desarrollo ABAP tradicionales
Tambieacuten significa que las soluciones de seguridad basadas
en la web como los firewalls de aplicaciones web resultan
insuficientes para proteger las aplicaciones de SAP
10
Estad Seguridad amp Compliance
Esta seccioacuten proporciona informacioacuten especiacutefica sobre los problemas de
seguridad y conformidad del coacutedigo analizado Entre estos se incluyen
defectos de seguridad (no deliberados) y desviaciones intencionadas en
los mecanismos de seguridad estaacutendar de SAP
1 Hay 11 problemas de seguridadcompliance criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que un sistema tiacutepico tiene 2197 problemas de
seguridadconformidad en el coacutedigo cliente Uno solo de estos
problemas puede causar dantildeos importantes a una empresa
Los 5 tipos de problemas de seguridadcompliance maacutes
criacuteticos localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Fallo de autorizacioacuten 99 976
Acceso transversal a carpetas 91 294
Modific directa en base de datos 86 38
Acceso multi-cliente 80 141
Inyeccioacuten SQL abierta 66 15
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
11
Por sistema hay 428 moacutedulos de funciones
habilitados para RFC
68 de estos moacutedulo carecen completamente de
comprobaciones de autorizacioacuten
2 A parte del conjunto de problemas criacuteticos hay una media por
sistema de 16 vulnerabilidades tan graves que un uacutenico
exploit comprometa totalmente la seguridad del sistema
Un atacante obtiene acceso completo a todos los datos em-
presariales aprovechando una sola de estas vulnerabilidades
3 En promedio hay por sistema 160 comprobaciones propias
de autorizacioacuten basadas en sy-uname La probabilidad de
encontrar comprobaciones propias de autorizacioacuten es 90
Esto significa que existe una elevada probabilidad de
encontrar puertas traseras en los sistemas SAP
Esto significa que el coacutedigo cliente contiene gran
cantidad de loacutegica de negocio ejecutable remotamente
y sin proteccioacuten adecuada
12
4 La probabilidad que se transfiera funcionalidad oculta a los
sistemas SAP a traveacutes de aplicaciones cliente es del 81
En promedio hay 127 instancias de funcionalidad oculta
por sistema
Esto significa que el coacutedigo cliente contiene una cantidad
considerable de funcionalidad que no pertenece a la loacutegica de
negocio esperada y que no se pone a prueba debido a su
naturaleza oculta
Esta funcionalidad oculta puede contener puertas traseras
5 Hay 428 moacutedulos de funciones habilitados para RFC por
sistema El 68 de los mismos carecen completamente de
comprobaciones de autorizacioacuten
Esto significa que el coacutedigo de cliente contiene gran cantidad
de loacutegica de negocio ejecutable de forma remota que no estaacute
bien protegida
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
6
Las siguientes paacuteginas contienen algunos datos estadiacutesticos
sorprendentes sobre la calidad del coacutedigo ABAP en cuanto a seguridad
cumplimiento regulatorio rendimiento y robustez
Novedades
Gracias a la contribucioacuten de 89 nuevas empresas con sus estadiacutesticas
anoacutenimas ahora disponemos de una base de 306 anaacutelisis completos de
coacutedigo ABAP de cliente sobre la que fundamentamos nuestra
investigacioacuten
Los aspectos de calidad de rendimiento y robustez no se incluyeron en
la evaluacioacuten comparativa desde un principio Por consiguiente sus
estadiacutesticas fluctuacutean algo maacutes que las estadiacutesticas de seguridad y
cumplimiento regulatorio
7
Estadiacutesticas Generales
Esta seccioacuten proporciona informacioacuten general sobre el coacutedigo analizado
La cantidad total de coacutedigo analizado es de 603026299
liacuteneas de coacutedigo distribuido en 306 sistemas de distintos
clientes
1 Nuacutemero medio de liacuteneas de coacutedigo por sistema de cliente
1970674
Suponer que las empresas utilizan el estaacutendar tal cual es un
mito Las empresas tienen una enorme cantidad de coacutedigo
propio activo sin ninguacuten tipo de control de calidad de coacutedigo
(Las liacuteneas de coacutedigo fuente son reales Comentarios y
liacuteneas en blanco no han sido considerados)
2 El objeto de modularizacioacuten maacutes comuacuten del coacutedigo cliente
son los forms (62 ) seguida de los meacutetodos (19 )
Esto significa que la mayor parte de la funcionalidad del coacutedigo cliente no puede ser reutilizada Similares requisitos funcionales deben ser reescritos e implementados una y otra vez (En el estaacutendar de SAP la proporcioacuten es la inversa 70 meacutetodos 19 forms)
8
3 En teacutermino medio las aplicaciones de cliente procesan
12807 fuentes de entrada por sistema
Cada fuente de entrada es un riesgo potencial de seguridad y
contribuye a la superficie de ataque de un sistema SAP
(Un SAP ECC 60 estaacutendar tiene 442 254 fuentes de entrada)
4 El 78 de todas las entradas procesadas por aplicaciones
cliente provienen de SAP GUI
El 19 de todas las entradas procesadas por aplicaciones
cliente provienen de RFC
En consecuencia eventuales acciones malintencionadas de
internos pueden aprovechar debilidades de aplicaciones SAP
con mayor facilidad que externos
(En SAP ECC 60 estaacutendar el 66 de las entradas provienen
de moacutedulos RFC y el 30 de las aplicaciones de SAP GUI)
5 El nuacutemero detectado de problemas de calidad en la
implementacioacuten de queries el mayor que el nuacutemero de
queries mismas
Los desarrolladores tienen importantes carencias de
conocimientos en relacioacuten con el acceso a bases de datos
que las iniciativas de control de calidad no son capaces de
controlar
Hay una media de 23313 consultas SQL abiertas en el
coacutedigo cliente por sistema (20007 en acceso de lectura y
3306 en acceso de escritura)
Hay una media de 28814 errores de calidad en el acceso a
bases de datos por sistema de cliente (Entre los errores de
calidad se incluyen problemas de rendimiento robustez
seguridad cumplimiento regulatorio y mantenimiento)
9
6 En el 20 de los casos el acceso a bases de datos genera
problemas de calidad criacuteticos
Esto significa que el coacutedigo de cliente expone los datos
empresariales a riesgos graves
Hay una media de
4747 errores de calidad criacuteticos
en el acceso a bases de datos por sistema de cliente
Entre los problemas de calidad se incluyen rendimiento
robustez seguridad compliance y mantenimiento
7 Solo el 03 de los moacutedulos ABAP estaacuten web-facing
Esto significa que deberiacutea definirse un enfoque educativo
formativo en las teacutecnicas de desarrollo ABAP tradicionales
Tambieacuten significa que las soluciones de seguridad basadas
en la web como los firewalls de aplicaciones web resultan
insuficientes para proteger las aplicaciones de SAP
10
Estad Seguridad amp Compliance
Esta seccioacuten proporciona informacioacuten especiacutefica sobre los problemas de
seguridad y conformidad del coacutedigo analizado Entre estos se incluyen
defectos de seguridad (no deliberados) y desviaciones intencionadas en
los mecanismos de seguridad estaacutendar de SAP
1 Hay 11 problemas de seguridadcompliance criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que un sistema tiacutepico tiene 2197 problemas de
seguridadconformidad en el coacutedigo cliente Uno solo de estos
problemas puede causar dantildeos importantes a una empresa
Los 5 tipos de problemas de seguridadcompliance maacutes
criacuteticos localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Fallo de autorizacioacuten 99 976
Acceso transversal a carpetas 91 294
Modific directa en base de datos 86 38
Acceso multi-cliente 80 141
Inyeccioacuten SQL abierta 66 15
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
11
Por sistema hay 428 moacutedulos de funciones
habilitados para RFC
68 de estos moacutedulo carecen completamente de
comprobaciones de autorizacioacuten
2 A parte del conjunto de problemas criacuteticos hay una media por
sistema de 16 vulnerabilidades tan graves que un uacutenico
exploit comprometa totalmente la seguridad del sistema
Un atacante obtiene acceso completo a todos los datos em-
presariales aprovechando una sola de estas vulnerabilidades
3 En promedio hay por sistema 160 comprobaciones propias
de autorizacioacuten basadas en sy-uname La probabilidad de
encontrar comprobaciones propias de autorizacioacuten es 90
Esto significa que existe una elevada probabilidad de
encontrar puertas traseras en los sistemas SAP
Esto significa que el coacutedigo cliente contiene gran
cantidad de loacutegica de negocio ejecutable remotamente
y sin proteccioacuten adecuada
12
4 La probabilidad que se transfiera funcionalidad oculta a los
sistemas SAP a traveacutes de aplicaciones cliente es del 81
En promedio hay 127 instancias de funcionalidad oculta
por sistema
Esto significa que el coacutedigo cliente contiene una cantidad
considerable de funcionalidad que no pertenece a la loacutegica de
negocio esperada y que no se pone a prueba debido a su
naturaleza oculta
Esta funcionalidad oculta puede contener puertas traseras
5 Hay 428 moacutedulos de funciones habilitados para RFC por
sistema El 68 de los mismos carecen completamente de
comprobaciones de autorizacioacuten
Esto significa que el coacutedigo de cliente contiene gran cantidad
de loacutegica de negocio ejecutable de forma remota que no estaacute
bien protegida
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
7
Estadiacutesticas Generales
Esta seccioacuten proporciona informacioacuten general sobre el coacutedigo analizado
La cantidad total de coacutedigo analizado es de 603026299
liacuteneas de coacutedigo distribuido en 306 sistemas de distintos
clientes
1 Nuacutemero medio de liacuteneas de coacutedigo por sistema de cliente
1970674
Suponer que las empresas utilizan el estaacutendar tal cual es un
mito Las empresas tienen una enorme cantidad de coacutedigo
propio activo sin ninguacuten tipo de control de calidad de coacutedigo
(Las liacuteneas de coacutedigo fuente son reales Comentarios y
liacuteneas en blanco no han sido considerados)
2 El objeto de modularizacioacuten maacutes comuacuten del coacutedigo cliente
son los forms (62 ) seguida de los meacutetodos (19 )
Esto significa que la mayor parte de la funcionalidad del coacutedigo cliente no puede ser reutilizada Similares requisitos funcionales deben ser reescritos e implementados una y otra vez (En el estaacutendar de SAP la proporcioacuten es la inversa 70 meacutetodos 19 forms)
8
3 En teacutermino medio las aplicaciones de cliente procesan
12807 fuentes de entrada por sistema
Cada fuente de entrada es un riesgo potencial de seguridad y
contribuye a la superficie de ataque de un sistema SAP
(Un SAP ECC 60 estaacutendar tiene 442 254 fuentes de entrada)
4 El 78 de todas las entradas procesadas por aplicaciones
cliente provienen de SAP GUI
El 19 de todas las entradas procesadas por aplicaciones
cliente provienen de RFC
En consecuencia eventuales acciones malintencionadas de
internos pueden aprovechar debilidades de aplicaciones SAP
con mayor facilidad que externos
(En SAP ECC 60 estaacutendar el 66 de las entradas provienen
de moacutedulos RFC y el 30 de las aplicaciones de SAP GUI)
5 El nuacutemero detectado de problemas de calidad en la
implementacioacuten de queries el mayor que el nuacutemero de
queries mismas
Los desarrolladores tienen importantes carencias de
conocimientos en relacioacuten con el acceso a bases de datos
que las iniciativas de control de calidad no son capaces de
controlar
Hay una media de 23313 consultas SQL abiertas en el
coacutedigo cliente por sistema (20007 en acceso de lectura y
3306 en acceso de escritura)
Hay una media de 28814 errores de calidad en el acceso a
bases de datos por sistema de cliente (Entre los errores de
calidad se incluyen problemas de rendimiento robustez
seguridad cumplimiento regulatorio y mantenimiento)
9
6 En el 20 de los casos el acceso a bases de datos genera
problemas de calidad criacuteticos
Esto significa que el coacutedigo de cliente expone los datos
empresariales a riesgos graves
Hay una media de
4747 errores de calidad criacuteticos
en el acceso a bases de datos por sistema de cliente
Entre los problemas de calidad se incluyen rendimiento
robustez seguridad compliance y mantenimiento
7 Solo el 03 de los moacutedulos ABAP estaacuten web-facing
Esto significa que deberiacutea definirse un enfoque educativo
formativo en las teacutecnicas de desarrollo ABAP tradicionales
Tambieacuten significa que las soluciones de seguridad basadas
en la web como los firewalls de aplicaciones web resultan
insuficientes para proteger las aplicaciones de SAP
10
Estad Seguridad amp Compliance
Esta seccioacuten proporciona informacioacuten especiacutefica sobre los problemas de
seguridad y conformidad del coacutedigo analizado Entre estos se incluyen
defectos de seguridad (no deliberados) y desviaciones intencionadas en
los mecanismos de seguridad estaacutendar de SAP
1 Hay 11 problemas de seguridadcompliance criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que un sistema tiacutepico tiene 2197 problemas de
seguridadconformidad en el coacutedigo cliente Uno solo de estos
problemas puede causar dantildeos importantes a una empresa
Los 5 tipos de problemas de seguridadcompliance maacutes
criacuteticos localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Fallo de autorizacioacuten 99 976
Acceso transversal a carpetas 91 294
Modific directa en base de datos 86 38
Acceso multi-cliente 80 141
Inyeccioacuten SQL abierta 66 15
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
11
Por sistema hay 428 moacutedulos de funciones
habilitados para RFC
68 de estos moacutedulo carecen completamente de
comprobaciones de autorizacioacuten
2 A parte del conjunto de problemas criacuteticos hay una media por
sistema de 16 vulnerabilidades tan graves que un uacutenico
exploit comprometa totalmente la seguridad del sistema
Un atacante obtiene acceso completo a todos los datos em-
presariales aprovechando una sola de estas vulnerabilidades
3 En promedio hay por sistema 160 comprobaciones propias
de autorizacioacuten basadas en sy-uname La probabilidad de
encontrar comprobaciones propias de autorizacioacuten es 90
Esto significa que existe una elevada probabilidad de
encontrar puertas traseras en los sistemas SAP
Esto significa que el coacutedigo cliente contiene gran
cantidad de loacutegica de negocio ejecutable remotamente
y sin proteccioacuten adecuada
12
4 La probabilidad que se transfiera funcionalidad oculta a los
sistemas SAP a traveacutes de aplicaciones cliente es del 81
En promedio hay 127 instancias de funcionalidad oculta
por sistema
Esto significa que el coacutedigo cliente contiene una cantidad
considerable de funcionalidad que no pertenece a la loacutegica de
negocio esperada y que no se pone a prueba debido a su
naturaleza oculta
Esta funcionalidad oculta puede contener puertas traseras
5 Hay 428 moacutedulos de funciones habilitados para RFC por
sistema El 68 de los mismos carecen completamente de
comprobaciones de autorizacioacuten
Esto significa que el coacutedigo de cliente contiene gran cantidad
de loacutegica de negocio ejecutable de forma remota que no estaacute
bien protegida
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
8
3 En teacutermino medio las aplicaciones de cliente procesan
12807 fuentes de entrada por sistema
Cada fuente de entrada es un riesgo potencial de seguridad y
contribuye a la superficie de ataque de un sistema SAP
(Un SAP ECC 60 estaacutendar tiene 442 254 fuentes de entrada)
4 El 78 de todas las entradas procesadas por aplicaciones
cliente provienen de SAP GUI
El 19 de todas las entradas procesadas por aplicaciones
cliente provienen de RFC
En consecuencia eventuales acciones malintencionadas de
internos pueden aprovechar debilidades de aplicaciones SAP
con mayor facilidad que externos
(En SAP ECC 60 estaacutendar el 66 de las entradas provienen
de moacutedulos RFC y el 30 de las aplicaciones de SAP GUI)
5 El nuacutemero detectado de problemas de calidad en la
implementacioacuten de queries el mayor que el nuacutemero de
queries mismas
Los desarrolladores tienen importantes carencias de
conocimientos en relacioacuten con el acceso a bases de datos
que las iniciativas de control de calidad no son capaces de
controlar
Hay una media de 23313 consultas SQL abiertas en el
coacutedigo cliente por sistema (20007 en acceso de lectura y
3306 en acceso de escritura)
Hay una media de 28814 errores de calidad en el acceso a
bases de datos por sistema de cliente (Entre los errores de
calidad se incluyen problemas de rendimiento robustez
seguridad cumplimiento regulatorio y mantenimiento)
9
6 En el 20 de los casos el acceso a bases de datos genera
problemas de calidad criacuteticos
Esto significa que el coacutedigo de cliente expone los datos
empresariales a riesgos graves
Hay una media de
4747 errores de calidad criacuteticos
en el acceso a bases de datos por sistema de cliente
Entre los problemas de calidad se incluyen rendimiento
robustez seguridad compliance y mantenimiento
7 Solo el 03 de los moacutedulos ABAP estaacuten web-facing
Esto significa que deberiacutea definirse un enfoque educativo
formativo en las teacutecnicas de desarrollo ABAP tradicionales
Tambieacuten significa que las soluciones de seguridad basadas
en la web como los firewalls de aplicaciones web resultan
insuficientes para proteger las aplicaciones de SAP
10
Estad Seguridad amp Compliance
Esta seccioacuten proporciona informacioacuten especiacutefica sobre los problemas de
seguridad y conformidad del coacutedigo analizado Entre estos se incluyen
defectos de seguridad (no deliberados) y desviaciones intencionadas en
los mecanismos de seguridad estaacutendar de SAP
1 Hay 11 problemas de seguridadcompliance criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que un sistema tiacutepico tiene 2197 problemas de
seguridadconformidad en el coacutedigo cliente Uno solo de estos
problemas puede causar dantildeos importantes a una empresa
Los 5 tipos de problemas de seguridadcompliance maacutes
criacuteticos localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Fallo de autorizacioacuten 99 976
Acceso transversal a carpetas 91 294
Modific directa en base de datos 86 38
Acceso multi-cliente 80 141
Inyeccioacuten SQL abierta 66 15
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
11
Por sistema hay 428 moacutedulos de funciones
habilitados para RFC
68 de estos moacutedulo carecen completamente de
comprobaciones de autorizacioacuten
2 A parte del conjunto de problemas criacuteticos hay una media por
sistema de 16 vulnerabilidades tan graves que un uacutenico
exploit comprometa totalmente la seguridad del sistema
Un atacante obtiene acceso completo a todos los datos em-
presariales aprovechando una sola de estas vulnerabilidades
3 En promedio hay por sistema 160 comprobaciones propias
de autorizacioacuten basadas en sy-uname La probabilidad de
encontrar comprobaciones propias de autorizacioacuten es 90
Esto significa que existe una elevada probabilidad de
encontrar puertas traseras en los sistemas SAP
Esto significa que el coacutedigo cliente contiene gran
cantidad de loacutegica de negocio ejecutable remotamente
y sin proteccioacuten adecuada
12
4 La probabilidad que se transfiera funcionalidad oculta a los
sistemas SAP a traveacutes de aplicaciones cliente es del 81
En promedio hay 127 instancias de funcionalidad oculta
por sistema
Esto significa que el coacutedigo cliente contiene una cantidad
considerable de funcionalidad que no pertenece a la loacutegica de
negocio esperada y que no se pone a prueba debido a su
naturaleza oculta
Esta funcionalidad oculta puede contener puertas traseras
5 Hay 428 moacutedulos de funciones habilitados para RFC por
sistema El 68 de los mismos carecen completamente de
comprobaciones de autorizacioacuten
Esto significa que el coacutedigo de cliente contiene gran cantidad
de loacutegica de negocio ejecutable de forma remota que no estaacute
bien protegida
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
9
6 En el 20 de los casos el acceso a bases de datos genera
problemas de calidad criacuteticos
Esto significa que el coacutedigo de cliente expone los datos
empresariales a riesgos graves
Hay una media de
4747 errores de calidad criacuteticos
en el acceso a bases de datos por sistema de cliente
Entre los problemas de calidad se incluyen rendimiento
robustez seguridad compliance y mantenimiento
7 Solo el 03 de los moacutedulos ABAP estaacuten web-facing
Esto significa que deberiacutea definirse un enfoque educativo
formativo en las teacutecnicas de desarrollo ABAP tradicionales
Tambieacuten significa que las soluciones de seguridad basadas
en la web como los firewalls de aplicaciones web resultan
insuficientes para proteger las aplicaciones de SAP
10
Estad Seguridad amp Compliance
Esta seccioacuten proporciona informacioacuten especiacutefica sobre los problemas de
seguridad y conformidad del coacutedigo analizado Entre estos se incluyen
defectos de seguridad (no deliberados) y desviaciones intencionadas en
los mecanismos de seguridad estaacutendar de SAP
1 Hay 11 problemas de seguridadcompliance criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que un sistema tiacutepico tiene 2197 problemas de
seguridadconformidad en el coacutedigo cliente Uno solo de estos
problemas puede causar dantildeos importantes a una empresa
Los 5 tipos de problemas de seguridadcompliance maacutes
criacuteticos localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Fallo de autorizacioacuten 99 976
Acceso transversal a carpetas 91 294
Modific directa en base de datos 86 38
Acceso multi-cliente 80 141
Inyeccioacuten SQL abierta 66 15
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
11
Por sistema hay 428 moacutedulos de funciones
habilitados para RFC
68 de estos moacutedulo carecen completamente de
comprobaciones de autorizacioacuten
2 A parte del conjunto de problemas criacuteticos hay una media por
sistema de 16 vulnerabilidades tan graves que un uacutenico
exploit comprometa totalmente la seguridad del sistema
Un atacante obtiene acceso completo a todos los datos em-
presariales aprovechando una sola de estas vulnerabilidades
3 En promedio hay por sistema 160 comprobaciones propias
de autorizacioacuten basadas en sy-uname La probabilidad de
encontrar comprobaciones propias de autorizacioacuten es 90
Esto significa que existe una elevada probabilidad de
encontrar puertas traseras en los sistemas SAP
Esto significa que el coacutedigo cliente contiene gran
cantidad de loacutegica de negocio ejecutable remotamente
y sin proteccioacuten adecuada
12
4 La probabilidad que se transfiera funcionalidad oculta a los
sistemas SAP a traveacutes de aplicaciones cliente es del 81
En promedio hay 127 instancias de funcionalidad oculta
por sistema
Esto significa que el coacutedigo cliente contiene una cantidad
considerable de funcionalidad que no pertenece a la loacutegica de
negocio esperada y que no se pone a prueba debido a su
naturaleza oculta
Esta funcionalidad oculta puede contener puertas traseras
5 Hay 428 moacutedulos de funciones habilitados para RFC por
sistema El 68 de los mismos carecen completamente de
comprobaciones de autorizacioacuten
Esto significa que el coacutedigo de cliente contiene gran cantidad
de loacutegica de negocio ejecutable de forma remota que no estaacute
bien protegida
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
10
Estad Seguridad amp Compliance
Esta seccioacuten proporciona informacioacuten especiacutefica sobre los problemas de
seguridad y conformidad del coacutedigo analizado Entre estos se incluyen
defectos de seguridad (no deliberados) y desviaciones intencionadas en
los mecanismos de seguridad estaacutendar de SAP
1 Hay 11 problemas de seguridadcompliance criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que un sistema tiacutepico tiene 2197 problemas de
seguridadconformidad en el coacutedigo cliente Uno solo de estos
problemas puede causar dantildeos importantes a una empresa
Los 5 tipos de problemas de seguridadcompliance maacutes
criacuteticos localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Fallo de autorizacioacuten 99 976
Acceso transversal a carpetas 91 294
Modific directa en base de datos 86 38
Acceso multi-cliente 80 141
Inyeccioacuten SQL abierta 66 15
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
11
Por sistema hay 428 moacutedulos de funciones
habilitados para RFC
68 de estos moacutedulo carecen completamente de
comprobaciones de autorizacioacuten
2 A parte del conjunto de problemas criacuteticos hay una media por
sistema de 16 vulnerabilidades tan graves que un uacutenico
exploit comprometa totalmente la seguridad del sistema
Un atacante obtiene acceso completo a todos los datos em-
presariales aprovechando una sola de estas vulnerabilidades
3 En promedio hay por sistema 160 comprobaciones propias
de autorizacioacuten basadas en sy-uname La probabilidad de
encontrar comprobaciones propias de autorizacioacuten es 90
Esto significa que existe una elevada probabilidad de
encontrar puertas traseras en los sistemas SAP
Esto significa que el coacutedigo cliente contiene gran
cantidad de loacutegica de negocio ejecutable remotamente
y sin proteccioacuten adecuada
12
4 La probabilidad que se transfiera funcionalidad oculta a los
sistemas SAP a traveacutes de aplicaciones cliente es del 81
En promedio hay 127 instancias de funcionalidad oculta
por sistema
Esto significa que el coacutedigo cliente contiene una cantidad
considerable de funcionalidad que no pertenece a la loacutegica de
negocio esperada y que no se pone a prueba debido a su
naturaleza oculta
Esta funcionalidad oculta puede contener puertas traseras
5 Hay 428 moacutedulos de funciones habilitados para RFC por
sistema El 68 de los mismos carecen completamente de
comprobaciones de autorizacioacuten
Esto significa que el coacutedigo de cliente contiene gran cantidad
de loacutegica de negocio ejecutable de forma remota que no estaacute
bien protegida
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
11
Por sistema hay 428 moacutedulos de funciones
habilitados para RFC
68 de estos moacutedulo carecen completamente de
comprobaciones de autorizacioacuten
2 A parte del conjunto de problemas criacuteticos hay una media por
sistema de 16 vulnerabilidades tan graves que un uacutenico
exploit comprometa totalmente la seguridad del sistema
Un atacante obtiene acceso completo a todos los datos em-
presariales aprovechando una sola de estas vulnerabilidades
3 En promedio hay por sistema 160 comprobaciones propias
de autorizacioacuten basadas en sy-uname La probabilidad de
encontrar comprobaciones propias de autorizacioacuten es 90
Esto significa que existe una elevada probabilidad de
encontrar puertas traseras en los sistemas SAP
Esto significa que el coacutedigo cliente contiene gran
cantidad de loacutegica de negocio ejecutable remotamente
y sin proteccioacuten adecuada
12
4 La probabilidad que se transfiera funcionalidad oculta a los
sistemas SAP a traveacutes de aplicaciones cliente es del 81
En promedio hay 127 instancias de funcionalidad oculta
por sistema
Esto significa que el coacutedigo cliente contiene una cantidad
considerable de funcionalidad que no pertenece a la loacutegica de
negocio esperada y que no se pone a prueba debido a su
naturaleza oculta
Esta funcionalidad oculta puede contener puertas traseras
5 Hay 428 moacutedulos de funciones habilitados para RFC por
sistema El 68 de los mismos carecen completamente de
comprobaciones de autorizacioacuten
Esto significa que el coacutedigo de cliente contiene gran cantidad
de loacutegica de negocio ejecutable de forma remota que no estaacute
bien protegida
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
12
4 La probabilidad que se transfiera funcionalidad oculta a los
sistemas SAP a traveacutes de aplicaciones cliente es del 81
En promedio hay 127 instancias de funcionalidad oculta
por sistema
Esto significa que el coacutedigo cliente contiene una cantidad
considerable de funcionalidad que no pertenece a la loacutegica de
negocio esperada y que no se pone a prueba debido a su
naturaleza oculta
Esta funcionalidad oculta puede contener puertas traseras
5 Hay 428 moacutedulos de funciones habilitados para RFC por
sistema El 68 de los mismos carecen completamente de
comprobaciones de autorizacioacuten
Esto significa que el coacutedigo de cliente contiene gran cantidad
de loacutegica de negocio ejecutable de forma remota que no estaacute
bien protegida
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
13
6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema
Hay una media de 976 errores de autorizacioacuten criacuteticos
Esto significa que los conocimientos de seguridad entre los
desarrolladores y los equipos de control de calidad no son
suficientes
ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente
de 306 clientes de SAP
Correctas
Comprobaciones de Autorizacioacuten
Criacuteticos Errores
en Comprobaciones de Autorizaciones
976
576
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
14
Estadiacutesticas de rendimiento
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de rendimiento del coacutedigo analizado El rendimiento cubre las
praacutecticas de programacioacuten que resultan de un consumo innecesario de
recursos de memoria y CPU de un servidor de aplicaciones SAP o de un
servidor de base de datos
1 Hay 11 problemas de rendimiento criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las empresas solo utilizan una pequentildea
parte de la velocidad de hardware que sus sistemas podriacutean
proporcionar
Estos son los 5 tipos de problemas de rendimiento maacutes
comunes localizados en el coacutedigo personalizado
Tipo de vulnerabilidad Efecto Pro- babil
Casos2
Operacioacuten de memoria ineficiente SA 99 867
Nested loop SA 99 427
Comando WAIT (+5 segundos) SA 91 38
Uso ineficiente del iacutendice de BD BD 89 1058
Buffer bypass de BD BD 89 848
1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)
2 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo
3 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
15
2 El mayor impacto de rendimiento descubierto fue un comando
WAIT que detuvo el funcionamiento de la aplicacioacuten durante
6000 segundos
Esto significa que hay algunos errores de rendimiento que
causan un impacto grave incluso en el hardware maacutes raacutepido
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
16
Estadiacutesticas de robustez
Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con
problemas de robustez del coacutedigo analizado La robustez abarca las
praacutecticas de programacioacuten que ponen en peligro la estabilidad de un
sistema SAP yo la integridad de los datos empresariales
1 Hay 43 problemas de robustez criacuteticos por cada
1000 liacuteneas de coacutedigo
Esto significa que las aplicaciones de cliente de SAP pueden
funcionar de forma fiable en circunstancias normales Sin
embargo un comportamiento inesperado del sistema puede
hacer que la aplicacioacuten falle se cuelgue o produzca resultados
no deseados
2 Un ausenteroto manejo de excepciones constituye el error
maacutes comuacuten en el coacutedigo cliente
Afecta masivamente a la estabilidad de todos los sistemas que
hemos analizado
Esto significa que las aplicaciones de cliente tienen una alta
probabilidad de fallar durante su funcionamiento La mayoriacutea
de estos fallos causan short dumps pero algunos de ellos
podriacutean quedar desapercibidos durante un tiempo y provocar
corrupcioacuten de datos
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
17
Los 3 maacutes comunes tipos de problemas de robustez
localizados en el coacutedigo cliente
Tipo de vulnerabilidad Probabilidad Apariciones2
Ausenteroto manejo de excepciones
98 6865
Operaciones erroacuteneas 84 876
Dependencias de codificacioacuten fija 76 131
1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio
3
Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo
especiacutefico de base de datos
Esto significa que en los proyectos de migracioacuten de base de
datos dicho coacutedigo debe comprobarse y potencialmente
reescribirse Esto es especialmente relevante en los proyectos
de migracioacuten HANA
4 Maacutes del 95 de las instalaciones de cliente tienen problemas
debidos a valores de codificacioacuten fija
Esto significa que los cambios en la organizacioacuten redundaraacuten
en fallos de las aplicaciones a menos que todos esos valores
se identifiquen y corrijan en el coacutedigo fuente
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
18
Observaciones finales
Estamos muy agradecidos a las 306 empresas que han participado en
este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a
nuestro sistema de anaacutelisis
Cerca del 90 de las empresas que han contribuido a este estudio son
de Alemania y Estados Unidos Hemos recibido contribuciones de los
siguientes sectores
Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y
farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y
operaciones produccioacuten industrial medios de comunicacioacuten y
entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como
servicios
iquestPor queacute (maacutes) empresas deberiacutean participar en
el benchmark de calidad del coacutedigo de cliente
Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado
Para comparar la calidad de su coacutedigo con la del sector
Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP
(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
19
Acerca de Virtual Forge
Virtual Forge es un proveedor independiente de soluciones de
seguridad compliance y calidad para sistemas y aplicaciones de SAP
Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los
riesgos clave y a corregir errores de la manera maacutes eficiente
Entre nuestros clientes se encuentran empresas multinacionales liacutederes
en los sectores de automocioacuten banca seguros productos quiacutemicos y
farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y
entretenimiento bienes de consumo petroacuteleo y gas y programas de
servicios
Acerca de Virtual Forge
CodeProfiler
Virtual Forge CodeProfiler localiza defectos de codificacioacuten en
programas ABAP y los corrige de forma automatizada
Para obtener maacutes informacioacuten sobre los productos de Virtual Forge
visite wwwvirtualforgecom y siacuteganos en Twitter
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
20
Comparta este
eBook con un
solo clic
EDITOR Virtual Forge GmbH
Speyerer Straszlige 6
69115 Heidelberg Alemania wwwvirtualforgecom
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
21
Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin
previo aviso Estos materiales son facilitados por Virtual Forge y son
uacutenicamente a tiacutetulo informativo
SAP ABAP y otros productos y servicios de SAP mencionados asiacute
como sus respectivos logotipos son marcas comerciales o marcas
comerciales registradas de SAP SE en Alemania y en otros paiacuteses en
todo el mundo Todos los demaacutes nombres de productos y servicios son
marcas comerciales de sus respectivas compantildeiacuteas
Virtual Forge no acepta ninguna responsabilidad por errores u
omisiones contenidos en esta publicacioacuten A partir de la informacioacuten
contenida en esta publicacioacuten no se asume ninguna responsabilidad
adicional
No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de
ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual
Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los
teacuterminos y condiciones generales de Virtual Forge
Recommended