Компания «Газинформсервис» представила квартальное обновление SafeERP 4.9.8 — программного комплекса для защиты корпоративных ERP-систем и процессов разработки. Новая версия усиливает контроль безопасности SAP и 1С, снижает операционные риски и повышает эффективность команд разработки.

Модуль комплексной защиты SAP (анализ кода ABAP и контроль настроек платформы) получил инструменты для точного управления правами доступа и минимизации ложных срабатываний:

  1. усиленный контроль ролевой модели SAP Java — автоматически выявляет избыточные привилегии, несоответствия полномочий и ошибки конфигурации. Это снижает риски внутренних инцидентов и упрощение прохождения аудитов безопасности;
  2. сравнение ролей — новая проверка позволяет сопоставлять две роли по агентам и мандантам, мгновенно обнаруживая различия в правах доступа, для ускорения анализа ролевой модели при реорганизациях и аудитах, экономия времени администраторов безопасности;
  3. персонализированные отчёты — выгрузка данных по критичности, категориям уязвимостей и другим параметрам для управленческих решений. Это позволяет вести прозрачную отчётность перед руководством и регуляторами;
  4. управление ложными срабатываниями (ЛПС) — найденные уязвимости можно помечать как ЛПС, исключая их из последующих сканирований, позволяя сократить временя анализа результатов на 30–40% и сделав фокус команды безопасности на реальных угрозах;
  5. добавлена проверка SAP NOTE и возможность их обновления — критичный функционал для поддержания защищённости системы.

Модуль комплексной защиты 1С (анализ кода и настроек платформы) получил следующие обновления:

  1. массовые уведомления по email — автоматическая рассылка изменений статусов уязвимостей («утверждено», «ЛПС», «на доработку») всем участникам проекта. Это делает прозрачным процесс устранения уязвимостей, сокращает время согласований между командами безопасности и разработки;
  2. детализированный отчёт в Excel — сводная информация по проекту, фильтруемый поиск по недостаткам и оптимизированная структура данных. Это упрощает анализ для руководителей и подготовку отчётов для регуляторов;
  3. конструктор собственных проверок — новые шаблоны позволяют создавать кастомные правила анализа платформы 1С под специфику бизнес-процессов компании;
  4. управление исключениями — возможность добавлять найденные недостатки платформы 1С в белый список, снижает шум от повторяющихся несущественных срабатываний, повышает точность мониторинга;
  5. дашборд «Контроль настроек» — визуализация количества и критичности уязвимостей, их динамики во времени, рейтинг проверок с наибольшим числом срабатываний. Это важно для быстрой оценки защищённости системы для принятия управленческих решений.

Модуль инструментов безопасной разработки (SAST, DAST, PENTEST) расширяет покрытие технологического стека:

  1. новый инструмент SCA (Software Composition Analysis) — анализирует зависимости open source на предмет актуальности, известных уязвимостей и соответствия лицензионным требованиям. Бизнес-выгода заключается в защите от рисков использования устаревших или уязвимых библиотек, соблюдении лицензионной дисциплины, снижении правовых рисков;
  2. автоматизация DAST-сканирований — запуск проектов динамического анализа веб-приложений по расписанию.

«SafeERP — единственное на российском рынке модульное решение, позволяющее управлять безопасностью ERP и информационных систем на базе SAP и 1С из единого окна», — отметила Римма Кулешова, менеджер продукта SafeERP компании «Газинформсервис».

«В этом релизе мы сознательно сосредоточились не на отдельных точечных функциях, а на усилении повседневной работы команд, отвечающих за безопасность и разработку. Большинство изменений в SafeERP 4.9.8 направлены на снижение ручной нагрузки: меньше времени на разбор результатов, меньше неопределённости при работе с ролями, настройками и уязвимостями, больше прозрачности для принятия решений», — подчёркнула Римма Кулешова.

Команда разработки усилила контроль ролевых моделей, работу с SAP Security Note, управление ложными срабатываниями и отчётность, потому что именно в этих зонах заказчики чаще всего сталкиваются с потерей времени и ростом рисков. «В результате система не просто находит проблемы, а помогает быстрее понять их значимость, расставить приоритеты и довести исправления до результата — без перегрузки команд и без потери управляемости», — добавила эксперт.