SAP Web Dispatcher
RFC Sicherheit, Science-Fiction und Theater
Im Folgenden wird die Architektur von SAP-Lösungen behandelt. Zunächst gehen wir dabei auf die SAP-Lösungen und -Komponenten ein. Anschließend folgen Abschnitte zu SAP HANA und zur Client-Server-Architektur.
Wenn Sie in der Voranalyse hohe Paging-Raten auf mehreren Rechnern beobachten, sollten Sie den von den SAP-Instanzen und der Datenbank allokierten Hauptspeicher berechnen (siehe Abschnitt 2.4.3, »Anzeige des allokierten Speichers«, und Abschnitt 2.3.2, »Analyse des Datenbankhauptspeichers «). Vergleichen Sie diesen mit dem physisch vorhandenen Hauptspeicher. Bei den Betriebssystemen Microsoft Windows und Oracle Solaris kann die Auswertung der Paging-Rate auf dem Datenbankserver zu Fehlinterpretationen führen, da dort Schreib-/Leseoperationen (I/O) unter gewissen Umständen ebenfalls als Paging gezählt werden. Vergleichen Sie dazu die SAP-Hinweise 124199 (Solaris) und 689818 (Windows).
Funktionsweise Java-Statistiken
Zur Analyse der teuren Anweisungen auf der Datenbank wird häufig der SQL Plan Cache (Oracle: Shared Cursor Cache) herangezogen. Die Analyse hat einige Nachteile, die sich daraus ergeben, dass dessen Statistiken eine Momentaufnahme des Cache darstellen. Anweisungen werden unterschiedlich schnell aus dem Cache verdrängt. Jede Berechnung der Tabellenstatistik oder Neuindizierung führt zu einer Invalidierung der betreffenden Anweisung im Cache, d. h., die Statistik dieser Anweisungen wird zurückgesetzt. Datenüberläufe können die Statistik verfälschen. Diese Gründe können dazu führen, dass die teuersten Anweisungen nicht erkannt oder falsch bewertet werden und die Statistiken sich nach kurzer Zeit völlig anders darstellen. Als Alternative bieten einige Datenbanken auch Werkzeuge, die vollständige Statistiken zu teuren SQL-Anweisungen erfassen.
Das Tool SAP NetWeaver Application Server Add-on für Code Vulnerability Analyse oder auch als Code Vulnearability Analyzer (CVA) bekannt ist ein Tool, das eine statische Analyse des benutzerdefinierten ABAP-Quellcodes durchführt, um mögliche Sicherheitsrisiken aufzudecken. Das Tool ist im NetWeaver ABAP Stack verfügbar und basiert auf den Versionen ab: 7.0 NetWeaver: in EHP2 SP 14 oder höher / 7.0 NetWeaver: in EHP3 SP 09 oder höher / 7.3 NetWeaver: in EHP1 SP 09 oder höher / 7.4 NetWeaver: in SP05 oder höher Um das CVA-Tool nutzen zu können, muss die Ausführung von systemweiten Sicherheitskontrollen mit dem Report RSLIN_SEC_LICENSE_SETUP aktiviert werden. Anschließend sind die Sicherheitskontrollen in Standard-APAB-Code-Checking-Tools wie ABAP Test Cockpit (ATC) oder Code Inspector (SCI) verfügbar. Die Option dieser Prüfungen wird üblicherweise als „Sicherheitsanalyse im erweiterten Programmcheck“ bezeichnet. Beachten Sie, dass die Verwendung der Sicherheitscheck-Funktion für benutzerdefinierten Codeseparat lizenziert wird und zusätzliche Kosten entstehen. Das ältere und seit Jahren eingeführte Programm ist der „Code Profiler“ von Virtual Forge. Es ist eines der ersten Produkte in diesem Segment der SAP Sicherheit und wurde lange Jahre von der SAP selbst eingesetzt. Es ist sehr umfangreich und ist in der Lage, auch einzelne Variablen über den gesamten Kontrollfluss zu verfolgen. Dies führt zu sehr präzisen Aussagen und einer Reduzierung von Fehlalarmen, den „False Positives“.
Tools wie "Shortcut for SAP Systems" ergänzen fehlende Funktionen im Bereich der SAP Basis.
Voraussetzung für die Einstellung ist ein einschlägiges abgeschlossenes Hochschulstudium (Bachelor, FH-Diplom) vorzugsweise in Informatik, Wirtschaftsinformatik, Mathematik oder einer naturwissenschaftlichen Disziplin sowie eine mindestens dreijährige praktische Erfahrung.
Doch nur die Wenigsten kommen mit den Systemen hinter den Anwendungen in Kontakt: „SAP Basis“ steht für die Systemadministration und die Plattformbasis jedes SAP-Systems.