Строим безопасную разработку в ритейлере. Часть 2, SAP-приложения

[menket]

Пару вопросов.
1. Как вы строили систему анализа кода, если, судя по статье, даже не знали как выгрузить его из SAP?
2. У заказчика отсутствует отдел безопасности SAP?

[SolarSecurity]

Добрый день. Отвечаем по пунктам:
1. Видимо, мы неточно отразили мысль в статье (уточнили в тексте). Опыт работы с SAP уже имелся, но не столь масштабный, как требовалось в данном случае. Поэтому этот проект дал нам много новых знаний.
2. У заказчика был и есть отдел безопасности SAP, они использовали свои методы проведения аналитики и выявления потенциальных проблем, но также стали одним из основных инициаторов внедрения нашей системы.

[menket]

Спасибо за ответы.

А зачем каждый раз выгружать весь код для проверки? Почему не сделать одну полную проверку, а затем на этапе переноса разработок выполнял проверку только запросов?

[SolarSecurity]

Если имеется в виду вариация инкрементального анализа, то основная причина заключается в том, что при выгрузке только изменённых запросов будет анализироваться код без связи с внешними функциональными модулями, классами и программами, которые он может вызывать. Это означает, что анализ не будет полноценным, так как поведение программы может изменяться сильнее, чем это может быть проинтерпретировано только в рамках изменения — AST и CFG будут уже не те =)
Также это была более простая и надёжная реализация именно с точки зрения интеграции сервисов между собой.