Комментарии 4
Пару вопросов.
1. Как вы строили систему анализа кода, если, судя по статье, даже не знали как выгрузить его из SAP?
2. У заказчика отсутствует отдел безопасности SAP?
Добрый день. Отвечаем по пунктам:
1. Видимо, мы неточно отразили мысль в статье (уточнили в тексте). Опыт работы с SAP уже имелся, но не столь масштабный, как требовалось в данном случае. Поэтому этот проект дал нам много новых знаний.
2. У заказчика был и есть отдел безопасности SAP, они использовали свои методы проведения аналитики и выявления потенциальных проблем, но также стали одним из основных инициаторов внедрения нашей системы.
Спасибо за ответы.

А зачем каждый раз выгружать весь код для проверки? Почему не сделать одну полную проверку, а затем на этапе переноса разработок выполнял проверку только запросов?
Если имеется в виду вариация инкрементального анализа, то основная причина заключается в том, что при выгрузке только изменённых запросов будет анализироваться код без связи с внешними функциональными модулями, классами и программами, которые он может вызывать. Это означает, что анализ не будет полноценным, так как поведение программы может изменяться сильнее, чем это может быть проинтерпретировано только в рамках изменения — AST и CFG будут уже не те =)
Также это была более простая и надёжная реализация именно с точки зрения интеграции сервисов между собой.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.