1000 Projects later: Security Code Scans at SAP

By Rüdiger Bachmann and Achim D. Brucker.

Please cite this work as follows:
R. Bachmann and A. D. Brucker, “1000 projects later: Security code scans at SAP,” presented at the German OWASP day, Munich, Germany, Nov. 07, 2012. Author copy: https://logicalhacking.com/publications/talk-brucker.ea-1000projekte-2012/

BibTeX
@Unpublished{ talk:brucker.ea:1000projekte:2012,
  date        = {2012-11-07},
  title_de    = {1000 Projekte sp{\"a}ter: Sicherheitscodesans in der SAP},
  title       = {1000 Projects later: Security Code Scans at SAP},
  author      = {R{\"u}diger Bachmann and Achim D. Brucker},
  eventtitle  = {German OWASP Day},
  venue       = {Munich, Germany},
  abstract_en = {Static Code Analysis (SCA) is an important means for
                 detecting software vulnerabilities at an early stage in the
                 software development lifecycle. The wide-spread introducing
                 static code analysis at a large software vendor is
                 challenging. Besides the technical challenges, e.g., caused by
                 the large number of software development projects, large
                 number of used programming languages (e.g., ABAP, C,
                 Objective-C, ...), the use of dynamic programming models such
                 as HTML5/JavaScript, there are also many non-technical
                 challenges, e.g, creating security awareness among the
                 developers, organizing trainings, integration of static code
                 analysis into the development and maintenance processes. In
                 this talk, we report the experiences we made while introducing
                 static code analysis at SAP AG.},
  abstract_de = {Statische Code Analyse (SCA) spielt in einem sicheren
                 Softwareentwicklungsprozess (SDL) eine wichtige Rolle um
                 m{\"o}gliche Sicherheitsschwachstellen bereits zur
                 Entwicklungszeit zu finden und zu beheben. Die
                 gro{\ss}fl{\"a}chige Einf{\"u}rung statischer Code Analyse bei
                 einem gro{\ss}en Softwarehersteller stellt eine gro{\ss}e
                 Herausforderung dar. Neben den technischen Schwierigkeiten
                 durch die schiere Anzahl und Gr{\"o}{\ss}e der
                 Softwareprojekte, der Vielzahl unterschiedlicher
                 Programmiersprachen (ABAP, C, Objective-C, ...) oder die
                 Verwendung dynamischer Programmiermodelle wie sie z.B. bei
                 HTML5/JavaScript {\"u}blich sind, ergeben sich auch
                 nicht-technische Probleme wie die Schaffung des notwendigen
                 Problembewusstseins, Schulung der Mitarbeiter im Umgang der
                 verwendeten Tools, Einbindung der Analyse in vorhandene
                 Entwicklungs- und Wartungsprozesse. In diesem Vortrag
                 berichten wir von unseren Erfahrungen in der
                 gro{\ss}fl{\"a}chigen Einf{\"u}hrung von statischer Code
                 Analyse innerhalb der SAP AG.},
  areas       = {software, security},
  note        = {Author copy: \url{https://logicalhacking.com/publications/talk-brucker.ea-1000projekte-2012/}},
  pdf         = {https://logicalhacking.com/publications/talk-brucker.ea-1000projekte-2012/talk-brucker.ea-1000projekte-2012.pdf},
}