Informe de referencia de código cliente 2016

1

Virtual Forge

eBook

Informe de referencia de coacutedigo cliente 2016

Lo que toda empresa debiese saber sobre su coacutedigo ABAPreg

2

Informe de referencia

de

coacutedigo cliente

2016

Lo que toda empresa debiese saber

sobre su coacutedigo ABAPreg

Virtual Forge

eBook

3

Acerca del autor

Andreas Wiegenstein es consultor de seguridad de SAP desde 2003 Ha

realizado incontables auditoriacuteas de seguridad SAP y recibido

reconocimiento por maacutes de 75 parches de seguridad relacionados con

vulnerabilidades por eacutel detectadas en varios productos SAP

CTO de Virtual Forge lidera el

equipo de Research amp Innovation

equipo dedicado al estudio

especiacutefico de seguridad en

sistemas SAP

Andreas ha impartido formacioacuten

sobre seguridad SAP en grandes

empresas y organizaciones de

defensa y participado en muacuteltiples

conferencias especiacuteficas de SAP

tales como TechEd o SAPience

asiacute como en conferencias sobre seguridad informaacutetica tales como

Troopers Black Hat HITB IT Defense DeepSec y RSA Ha investigado

los principales 20 riesgos ABAP publicados por el Servicio Federal

Alemaacuten de Seguridad de la Informacioacuten (BSI) es coautor del primer libro

sobre seguridad ABAP (SAP Press 2009) y ha escrito el capiacutetulo sobre

seguridad de la guiacutea de mejores praacutecticas en ABAP Grupo de Usuarios

SAP de habla alemana (DSAG) Andreas es ademaacutes miembro de

BIZECorg comunidad dedicada al estudio de la seguridad en

soluciones informaacuteticas empresariales

Siga a Andreas en twitter codeprofiler

4

Iacutendice

Resumen 5

Estadiacutesticas Generales 7

Estadiacutesticas de Seguridad y Compliance 10

Estadiacutesticas de Rendimiento 14

Estadiacutesticas de Robustez 16

Observaciones Finales 18

5

5

Resumen

Praacutecticamente todos los clientes de SAPreg con el fin de adaptar la

solucioacuten estaacutendar a sus requerimientos especificos escriben su propio

coacutedigo ABAPreg Algunas empresas incluso han desarrollado su coacutedigo

cliente a lo largo de deacutecadas

iquestCuaacutel es la cantidad de coacutedigo cliente de una organizacioacuten

Y lo que es maacutes importante

iquestQueacute calidad tiene este coacutedigo cliente

Preguntas fundamentales que sin embargo pocas empresas son

capaces de responder

Virtual Forge lleva muchos antildeos realizando evaluaciones de riesgo

sobre coacutedigo ABAP en cientos de sistemas SAP distribuidos en una

amplia gama de clientes Estos resultados analizados a partir de

meacutetricas claves le han permitido establecer un marco referencial para

la calidad media del coacutedigo cliente de un sistema SAP

Virtual Forge es la primera empresa en publicar un anaacutelisis referencial

de calidad del coacutedigo cliente ABAP establecieacutendose como marco de

referencia global para toda implementacioacuten de sistemas SAP

Informacioacuten sobre el coacutedigo analizado

La totalidad del coacutedigo analizado no ha recibido ninguna atencioacuten especial en cuanto a la calidad es decir solo ha pasado por procesos de calidad baacutesicos o ninguno

Cada evaluacioacuten de riesgo de Virtual Forge abarca todo y uacutenicamente el coacutedigo cliente del sistema

Todas las meacutetricas de anaacutelisis se han calculado mediante Virtual Forge CodeProfiler

6

Las siguientes paacuteginas contienen algunos datos estadiacutesticos

sorprendentes sobre la calidad del coacutedigo ABAP en cuanto a seguridad

cumplimiento regulatorio rendimiento y robustez

Novedades

Gracias a la contribucioacuten de 89 nuevas empresas con sus estadiacutesticas

anoacutenimas ahora disponemos de una base de 306 anaacutelisis completos de

coacutedigo ABAP de cliente sobre la que fundamentamos nuestra

investigacioacuten

Los aspectos de calidad de rendimiento y robustez no se incluyeron en

la evaluacioacuten comparativa desde un principio Por consiguiente sus

estadiacutesticas fluctuacutean algo maacutes que las estadiacutesticas de seguridad y

cumplimiento regulatorio

7

Estadiacutesticas Generales

Esta seccioacuten proporciona informacioacuten general sobre el coacutedigo analizado

La cantidad total de coacutedigo analizado es de 603026299

liacuteneas de coacutedigo distribuido en 306 sistemas de distintos

clientes

1 Nuacutemero medio de liacuteneas de coacutedigo por sistema de cliente

1970674

Suponer que las empresas utilizan el estaacutendar tal cual es un

mito Las empresas tienen una enorme cantidad de coacutedigo

propio activo sin ninguacuten tipo de control de calidad de coacutedigo

(Las liacuteneas de coacutedigo fuente son reales Comentarios y

liacuteneas en blanco no han sido considerados)

2 El objeto de modularizacioacuten maacutes comuacuten del coacutedigo cliente

son los forms (62 ) seguida de los meacutetodos (19 )

Esto significa que la mayor parte de la funcionalidad del coacutedigo cliente no puede ser reutilizada Similares requisitos funcionales deben ser reescritos e implementados una y otra vez (En el estaacutendar de SAP la proporcioacuten es la inversa 70 meacutetodos 19 forms)

8

3 En teacutermino medio las aplicaciones de cliente procesan

12807 fuentes de entrada por sistema

Cada fuente de entrada es un riesgo potencial de seguridad y

contribuye a la superficie de ataque de un sistema SAP

(Un SAP ECC 60 estaacutendar tiene 442 254 fuentes de entrada)

4 El 78 de todas las entradas procesadas por aplicaciones

cliente provienen de SAP GUI

El 19 de todas las entradas procesadas por aplicaciones

cliente provienen de RFC

En consecuencia eventuales acciones malintencionadas de

internos pueden aprovechar debilidades de aplicaciones SAP

con mayor facilidad que externos

(En SAP ECC 60 estaacutendar el 66 de las entradas provienen

de moacutedulos RFC y el 30 de las aplicaciones de SAP GUI)

5 El nuacutemero detectado de problemas de calidad en la

implementacioacuten de queries el mayor que el nuacutemero de

queries mismas

Los desarrolladores tienen importantes carencias de

conocimientos en relacioacuten con el acceso a bases de datos

que las iniciativas de control de calidad no son capaces de

controlar

Hay una media de 23313 consultas SQL abiertas en el

coacutedigo cliente por sistema (20007 en acceso de lectura y

3306 en acceso de escritura)

Hay una media de 28814 errores de calidad en el acceso a

bases de datos por sistema de cliente (Entre los errores de

calidad se incluyen problemas de rendimiento robustez

seguridad cumplimiento regulatorio y mantenimiento)

9

6 En el 20 de los casos el acceso a bases de datos genera

problemas de calidad criacuteticos

Esto significa que el coacutedigo de cliente expone los datos

empresariales a riesgos graves

Hay una media de

4747 errores de calidad criacuteticos

en el acceso a bases de datos por sistema de cliente

Entre los problemas de calidad se incluyen rendimiento

robustez seguridad compliance y mantenimiento

7 Solo el 03 de los moacutedulos ABAP estaacuten web-facing

Esto significa que deberiacutea definirse un enfoque educativo

formativo en las teacutecnicas de desarrollo ABAP tradicionales

Tambieacuten significa que las soluciones de seguridad basadas

en la web como los firewalls de aplicaciones web resultan

insuficientes para proteger las aplicaciones de SAP

10

Estad Seguridad amp Compliance

Esta seccioacuten proporciona informacioacuten especiacutefica sobre los problemas de

seguridad y conformidad del coacutedigo analizado Entre estos se incluyen

defectos de seguridad (no deliberados) y desviaciones intencionadas en

los mecanismos de seguridad estaacutendar de SAP

1 Hay 11 problemas de seguridadcompliance criacuteticos por cada

1000 liacuteneas de coacutedigo

Esto significa que un sistema tiacutepico tiene 2197 problemas de

seguridadconformidad en el coacutedigo cliente Uno solo de estos

problemas puede causar dantildeos importantes a una empresa

Los 5 tipos de problemas de seguridadcompliance maacutes

criacuteticos localizados en el coacutedigo cliente

Tipo de vulnerabilidad Probabilidad Apariciones2

Fallo de autorizacioacuten 99 976

Acceso transversal a carpetas 91 294

Modific directa en base de datos 86 38

Acceso multi-cliente 80 141

Inyeccioacuten SQL abierta 66 15

1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo

2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio

11

Por sistema hay 428 moacutedulos de funciones

habilitados para RFC

68 de estos moacutedulo carecen completamente de

comprobaciones de autorizacioacuten

2 A parte del conjunto de problemas criacuteticos hay una media por

sistema de 16 vulnerabilidades tan graves que un uacutenico

exploit comprometa totalmente la seguridad del sistema

Un atacante obtiene acceso completo a todos los datos em-

presariales aprovechando una sola de estas vulnerabilidades

3 En promedio hay por sistema 160 comprobaciones propias

de autorizacioacuten basadas en sy-uname La probabilidad de

encontrar comprobaciones propias de autorizacioacuten es 90

Esto significa que existe una elevada probabilidad de

encontrar puertas traseras en los sistemas SAP

Esto significa que el coacutedigo cliente contiene gran

cantidad de loacutegica de negocio ejecutable remotamente

y sin proteccioacuten adecuada

12

4 La probabilidad que se transfiera funcionalidad oculta a los

sistemas SAP a traveacutes de aplicaciones cliente es del 81

En promedio hay 127 instancias de funcionalidad oculta

por sistema

Esto significa que el coacutedigo cliente contiene una cantidad

considerable de funcionalidad que no pertenece a la loacutegica de

negocio esperada y que no se pone a prueba debido a su

naturaleza oculta

Esta funcionalidad oculta puede contener puertas traseras

5 Hay 428 moacutedulos de funciones habilitados para RFC por

sistema El 68 de los mismos carecen completamente de


Esto significa que el coacutedigo de cliente contiene gran cantidad

de loacutegica de negocio ejecutable de forma remota que no estaacute

bien protegida

13

6 Hay una media de 576 comprobaciones de autorizacioacuten correctamente codificadas por sistema

Hay una media de 976 errores de autorizacioacuten criacuteticos

Esto significa que los conocimientos de seguridad entre los

desarrolladores y los equipos de control de calidad no son

suficientes

ABAP Benchmark de Virtual Forge Resultados medios de un sondeo de coacutedigo cliente

de 306 clientes de SAP

Correctas

Comprobaciones de Autorizacioacuten

Criacuteticos Errores

en Comprobaciones de Autorizaciones

976

576

14

Estadiacutesticas de rendimiento

Esta seccioacuten proporciona informacioacuten especiacutefica relacionada con

problemas de rendimiento del coacutedigo analizado El rendimiento cubre las

praacutecticas de programacioacuten que resultan de un consumo innecesario de

recursos de memoria y CPU de un servidor de aplicaciones SAP o de un

servidor de base de datos

1 Hay 11 problemas de rendimiento criacuteticos por cada


Esto significa que las empresas solo utilizan una pequentildea

parte de la velocidad de hardware que sus sistemas podriacutean

proporcionar

Estos son los 5 tipos de problemas de rendimiento maacutes

comunes localizados en el coacutedigo personalizado

Tipo de vulnerabilidad Efecto Pro- babil

Casos2

Operacioacuten de memoria ineficiente SA 99 867

Nested loop SA 99 427

Comando WAIT (+5 segundos) SA 91 38

Uso ineficiente del iacutendice de BD BD 89 1058

Buffer bypass de BD BD 89 848

1 El efecto indica queacute sistemas se ven maacutes afectados el servidor de aplicaciones (SA) o la base de datos (BD)



15

2 El mayor impacto de rendimiento descubierto fue un comando

WAIT que detuvo el funcionamiento de la aplicacioacuten durante

6000 segundos

Esto significa que hay algunos errores de rendimiento que

causan un impacto grave incluso en el hardware maacutes raacutepido

16

Estadiacutesticas de robustez


problemas de robustez del coacutedigo analizado La robustez abarca las

praacutecticas de programacioacuten que ponen en peligro la estabilidad de un

sistema SAP yo la integridad de los datos empresariales

1 Hay 43 problemas de robustez criacuteticos por cada


Esto significa que las aplicaciones de cliente de SAP pueden

funcionar de forma fiable en circunstancias normales Sin

embargo un comportamiento inesperado del sistema puede

hacer que la aplicacioacuten falle se cuelgue o produzca resultados

no deseados

2 Un ausenteroto manejo de excepciones constituye el error

maacutes comuacuten en el coacutedigo cliente

Afecta masivamente a la estabilidad de todos los sistemas que

hemos analizado

Esto significa que las aplicaciones de cliente tienen una alta

probabilidad de fallar durante su funcionamiento La mayoriacutea

de estos fallos causan short dumps pero algunos de ellos

podriacutean quedar desapercibidos durante un tiempo y provocar

corrupcioacuten de datos

17

Los 3 maacutes comunes tipos de problemas de robustez

localizados en el coacutedigo cliente


Ausenteroto manejo de excepciones

98 6865

Operaciones erroacuteneas 84 876

Dependencias de codificacioacuten fija 76 131

1 La probabilidad indica en cuaacutentos sistemas analizados se ha encontrado al menos un problema de este tipo 2 Las apariciones reflejan el nuacutemero absoluto de fallos criacuteticos detectados por sistema en promedio

3

Maacutes del 74 de las instalaciones de cliente utilizan coacutedigo

especiacutefico de base de datos

Esto significa que en los proyectos de migracioacuten de base de

datos dicho coacutedigo debe comprobarse y potencialmente

reescribirse Esto es especialmente relevante en los proyectos

de migracioacuten HANA

4 Maacutes del 95 de las instalaciones de cliente tienen problemas

debidos a valores de codificacioacuten fija

Esto significa que los cambios en la organizacioacuten redundaraacuten

en fallos de las aplicaciones a menos que todos esos valores

se identifiquen y corrijan en el coacutedigo fuente

18

Observaciones finales

Estamos muy agradecidos a las 306 empresas que han participado en

este proyecto aportando los resultados de sus exaacutemenes (anoacutenimos) a

nuestro sistema de anaacutelisis

Cerca del 90 de las empresas que han contribuido a este estudio son

de Alemania y Estados Unidos Hemos recibido contribuciones de los

siguientes sectores

Aeroespacial amp defensa automoacutevil banca y seguros quiacutemica y

farmacia alta tecnologiacutea y electroacutenica ingeneriacutea construccioacuten y

operaciones produccioacuten industrial medios de comunicacioacuten y

entretenimiento bienes de consumo comercio gas y petroacuteleo asiacute como

servicios

iquestPor queacute (maacutes) empresas deberiacutean participar en

el benchmark de calidad del coacutedigo de cliente

Para recibir un informe gratuito sobre la calidad general del coacutedigo ABAP de un sistema SAP determinado

Para comparar la calidad de su coacutedigo con la del sector

Para aportar datos estadiacutesticos que ayuden a otras empresas a comprender mejor los riesgos de SAP

(Contacta con Virtual Forge para obtener maacutes informacioacuten sobre nuestro Business Code Quality Benchmark )

19

Acerca de Virtual Forge

Virtual Forge es un proveedor independiente de soluciones de

seguridad compliance y calidad para sistemas y aplicaciones de SAP

Ayudamos a nuestros clientes de SAP a identificar faacutecilmente los

riesgos clave y a corregir errores de la manera maacutes eficiente

Entre nuestros clientes se encuentran empresas multinacionales liacutederes

en los sectores de automocioacuten banca seguros productos quiacutemicos y

farmaceacuteuticos alta tecnologiacutea y electroacutenica medios de comunicacioacuten y

entretenimiento bienes de consumo petroacuteleo y gas y programas de

servicios


CodeProfiler

Virtual Forge CodeProfiler localiza defectos de codificacioacuten en

programas ABAP y los corrige de forma automatizada

Para obtener maacutes informacioacuten sobre los productos de Virtual Forge

visite wwwvirtualforgecom y siacuteganos en Twitter

20

Comparta este

eBook con un

solo clic

EDITOR Virtual Forge GmbH

Speyerer Straszlige 6

69115 Heidelberg Alemania wwwvirtualforgecom

21

Avisos legales copy2015 Virtual Forge GmbH Todos los derechos reservados La informacioacuten contenida en esta publicacioacuten estaacute sujeta a cambios sin

previo aviso Estos materiales son facilitados por Virtual Forge y son

uacutenicamente a tiacutetulo informativo

SAP ABAP y otros productos y servicios de SAP mencionados asiacute

como sus respectivos logotipos son marcas comerciales o marcas

comerciales registradas de SAP SE en Alemania y en otros paiacuteses en

todo el mundo Todos los demaacutes nombres de productos y servicios son

marcas comerciales de sus respectivas compantildeiacuteas

Virtual Forge no acepta ninguna responsabilidad por errores u

omisiones contenidos en esta publicacioacuten A partir de la informacioacuten

contenida en esta publicacioacuten no se asume ninguna responsabilidad

adicional

No se puede reproducir ni transmitir parte alguna de esta publicacioacuten de

ninguna forma ni para ninguacuten propoacutesito sin el permiso expreso de Virtual

Forge GmbH Alemania o Virtual Forge Inc Filadelfia Se aplican los

teacuterminos y condiciones generales de Virtual Forge

2

Informe de referencia

de

coacutedigo cliente

2016

Lo que toda empresa debiese saber

sobre su coacutedigo ABAPreg

Virtual Forge

eBook

3

Acerca del autor









sistemas SAP

















4

Iacutendice

Resumen 5






5

5

Resumen






















6




Novedades




investigacioacuten





7





clientes


1970674









8

















queries mismas




controlar








9





Hay una media de











10





















11


















12




por sistema




naturaleza oculta







bien protegida

13





suficientes



Correctas




976

576

14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





3

Acerca del autor









sistemas SAP

















4

Iacutendice

Resumen 5






5

5

Resumen






















6




Novedades




investigacioacuten





7





clientes


1970674









8

















queries mismas




controlar








9





Hay una media de











10





















11


















12




por sistema




naturaleza oculta







bien protegida

13





suficientes



Correctas




976

576

14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





4

Iacutendice

Resumen 5






5

5

Resumen






















6




Novedades




investigacioacuten





7





clientes


1970674









8

















queries mismas




controlar








9





Hay una media de











10





















11


















12




por sistema




naturaleza oculta







bien protegida

13





suficientes



Correctas




976

576

14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





5

5

Resumen






















6




Novedades




investigacioacuten





7





clientes


1970674









8

















queries mismas




controlar








9





Hay una media de











10





















11


















12




por sistema




naturaleza oculta







bien protegida

13





suficientes



Correctas




976

576

14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





6




Novedades




investigacioacuten





7





clientes


1970674









8

















queries mismas




controlar








9





Hay una media de











10





















11


















12




por sistema




naturaleza oculta







bien protegida

13





suficientes



Correctas




976

576

14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





7





clientes


1970674









8

















queries mismas




controlar








9





Hay una media de











10





















11


















12




por sistema




naturaleza oculta







bien protegida

13





suficientes



Correctas




976

576

14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





8

















queries mismas




controlar








9





Hay una media de











10





















11


















12




por sistema




naturaleza oculta







bien protegida

13





suficientes



Correctas




976

576

14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





9





Hay una media de











10





















11


















12




por sistema




naturaleza oculta







bien protegida

13





suficientes



Correctas




976

576

14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





10





















11


















12




por sistema




naturaleza oculta







bien protegida

13





suficientes



Correctas




976

576

14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





11


















12




por sistema




naturaleza oculta







bien protegida

13





suficientes



Correctas




976

576

14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





12




por sistema




naturaleza oculta







bien protegida

13





suficientes



Correctas




976

576

14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





13





suficientes



Correctas




976

576

14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





14











proporcionar




Casos2









15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





15



6000 segundos



16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





16












no deseados




hemos analizado






17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





17





98 6865




3












18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





18







siguientes sectores





servicios







19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





19










servicios


CodeProfiler





20

Comparta este

eBook con un

solo clic




21












adicional





20

Comparta este

eBook con un

solo clic




21












adicional





21












adicional





Documents

Informe de referencia de código cliente 2016