
By Rüdiger Bachmann and Achim D. Brucker.
Please cite this work as follows: R. Bachmann and A. D. Brucker, “1000 projects later: Security code scans at SAP,” presented at the German OWASP day, Munich, Germany, Nov. 07, 2012. Author copy: https://logicalhacking.com/publications/talk-brucker.ea-1000projekte-2012/
@Unpublished{ talk:brucker.ea:1000projekte:2012,
date = {2012-11-07},
title_de = {1000 Projekte sp{\"a}ter: Sicherheitscodesans in der SAP},
title = {1000 Projects later: Security Code Scans at SAP},
author = {R{\"u}diger Bachmann and Achim D. Brucker},
eventtitle = {German OWASP Day},
venue = {Munich, Germany},
abstract_en = {Static Code Analysis (SCA) is an important means for
detecting software vulnerabilities at an early stage in the
software development lifecycle. The wide-spread introducing
static code analysis at a large software vendor is
challenging. Besides the technical challenges, e.g., caused by
the large number of software development projects, large
number of used programming languages (e.g., ABAP, C,
Objective-C, ...), the use of dynamic programming models such
as HTML5/JavaScript, there are also many non-technical
challenges, e.g, creating security awareness among the
developers, organizing trainings, integration of static code
analysis into the development and maintenance processes. In
this talk, we report the experiences we made while introducing
static code analysis at SAP AG.},abstract_de = {Statische Code Analyse (SCA) spielt in einem sicheren
Softwareentwicklungsprozess (SDL) eine wichtige Rolle um\"o}gliche Sicherheitsschwachstellen bereits zur
m{
Entwicklungszeit zu finden und zu beheben. Die\ss}fl{\"a}chige Einf{\"u}rung statischer Code Analyse bei
gro{\ss}en Softwarehersteller stellt eine gro{\ss}e
einem gro{
Herausforderung dar. Neben den technischen Schwierigkeiten\"o}{\ss}e der
durch die schiere Anzahl und Gr{
Softwareprojekte, der Vielzahl unterschiedlicher
Programmiersprachen (ABAP, C, Objective-C, ...) oder die
Verwendung dynamischer Programmiermodelle wie sie z.B. bei\"u}blich sind, ergeben sich auch
HTML5/JavaScript {
nicht-technische Probleme wie die Schaffung des notwendigen
Problembewusstseins, Schulung der Mitarbeiter im Umgang der
verwendeten Tools, Einbindung der Analyse in vorhandene
Entwicklungs- und Wartungsprozesse. In diesem Vortrag
berichten wir von unseren Erfahrungen in der\ss}fl{\"a}chigen Einf{\"u}hrung von statischer Code
gro{
Analyse innerhalb der SAP AG.},areas = {software, security},
note = {Author copy: \url{https://logicalhacking.com/publications/talk-brucker.ea-1000projekte-2012/}},
pdf = {https://logicalhacking.com/publications/talk-brucker.ea-1000projekte-2012/talk-brucker.ea-1000projekte-2012.pdf},
}