Czym są noty SAP?

Noty bezpieczeństwa SAP® – być spokojnym o system

Uogólniając można powiedzieć, że są małymi aktualizacjami oprogramowania – zawierają korekty kodu, zawierają przy tym opis problemu, itd. Drugą ich rolą jest wsparcie, które nie zawiera korekt/aktualizacji lecz dokumentuje konkretny problem, często w szerokim zakresie.
Te pulę nazywamy odpowiednio po prostu notami (SAP® Notes) oraz artykułami bazy wiedzy
(SAP® Knowledge Base Articles).

Aby dalej przybliżyć funkcję not można wprowadzić kolejny podział, który pozwoli nam dojść do sedna sprawy – bezpieczeństwa.

• HotNews, czyli noty o najwyższym priorytecie, które, wdrożone w odpowiednim momencie, zapobiegają poważnym kłopotom lub w sytuacji krytycznej pozwalają szybko „ugasić pożar”.
• Security Notes (noty bezpieczeństwa), które podwyższają bezpieczeństwo systemu.
• Legal Change Notes (noty prawne), które są odpowiedzią na zmiany w regulacjach prawnych, itd.

Widzimy więc, że noty są… pomocne. Wiele z nich jest „nieprzyjaznych’ ze względu na złożoność, jednak wraz z podnoszeniem kompetencji, poziomu wiedzy oraz doświadczenia dot. systemów SAP®, dyskomfort zniknie.

Gdzie i jak szukać not bezpieczeństwa?

Najprostsza odpowiedź: na SAP® Support Portal (https://support.sap.com/securitynotes). Nie da się przeoczyć odnośników różnego rodzaju m. in. takich jak ‘Expert Search’. Jednak rekomendowaną opcją jest posiadanie sprawnego systemu Solution Manager, dzięki któremu w łatwy sposób systemy będą mogły być „na czasie”.

Jak? To tylko trochę bardziej trudne. W momencie pisania tego artykułu noty bezpieczeństwa znajdziemy na SAP® Launchpad w sekcji ‘System Operations and Maintenance’, kafelek ‘SAP Security Notes’.

Wstępnie na samym kafelku otrzymamy informację, ile not bezpieczeństwa jest do przejrzenia.
Jeśli jest to spora liczba, to… słabiutko! Ktoś nie wykonuje rutynowej kontroli. Można wytłumaczyć się regularnym aktualizowaniem systemu, ale tylko częściowo. Wyraźnym zaleceniem jest, że każdy klient musi regularnie przeglądać listę not i musi zweryfikować dla każdego wpisu, czy nota bezpieczeństwa nadaje się do systemu, który jest w jego posiadaniu, oraz co zrobić jeśli implementacja noty jest konieczna.

Do dyspozycji mamy kilka filtrów, które ułatwiają weryfikację not bezpieczeństwa pod katem przydatności, takich jak: system (czy dotyczy naszego), kategoria (np.: błąd programu), priorytet (ważność), itd.

Patch Day Notes – na ratunek

Te konkretne noty publikowane są cyklicznie, na tzw. SAP® Security Patch Day, w każdy drugi wtorek każdego miesiąca. Zbiór tych not zawiera noty od priorytetu ‘Low’ do  ‘HotNews’, bardzo często zgłaszane przez zewnętrzne źródła, w większości przypadków posiadające punktację CVSS.
CVSS oznacza ‘Common Vulnerability Scoring System’ i ma za zadanie w postaci punktowej przedstawić charakterystykę podatności bezpieczeństwa i jej krytyczność. W tym artykule nie będziemy się skupiać na tym, co dokładnie składa się na punktację CVSS, niemniej warto się z tym zapoznać. Mnóstwo materiałów i dokumentacji dostępnych jest powszechnie w sieci.

Patch Day Notes powinien (a nawet musi) być jednym z elementów niezbędnego minimum
w kalendarzu administratora bezpieczeństwa.

Podsumowanie

RSECNOTE? Kiedy to było…? Dawniej przyjemny kawałek „softu”. Dziś – ratuj się kto może!
No, może sporo w tym przesady, ale komunikat jest jasny. Nie używamy już tej funkcjonalności. Dlaczego więc została ona tu przywołana? Jako punkt wyjścia do powyżej poruszonego tematu, który doprowadzi nas do: 1890782 – RSECNOTE no longer supported oraz https://support.sap.com/sysrec i po nitce do kłębka, do wielu ciekawych informacji rozszerzających powyższe zagadnienie.

Cóż, miłej lektury i jak to się mówi – STAY SAFE 🙂