Vad är SAP-anteckningar?

SAP® Safety Notes - var lugn med ditt system

Generellt sett kan man säga att de är små programuppdateringar - de innehåller korrigeringar av koden, de innehåller en beskrivning av problemet och så vidare. Deras andra roll är support, som inte innehåller korrigeringar/uppdateringar utan dokumenterar ett specifikt problem, ofta i breda termer.
Vi kallar dessa pooler helt enkelt sedlar (SAP® Anteckningar) och artiklar i kunskapsbasen
(Artiklar i SAP® kunskapsbas).

För att ta notfunktionen vidare kan man införa ytterligare en uppdelning för att komma till kärnan i frågan - säkerhet.

• HotNews, dvs. högst prioriterade meddelanden som, när de genomförs i rätt ögonblick, förhindrar allvarliga problem eller, i en kritisk situation, gör att branden snabbt kan „släckas”.
• Security Notes, som ökar säkerheten i systemet.
• Legal Change Notes, som svarar mot förändringar i regelverk etc.

Så vi ser att anteckningarna är ... användbara. Många av dem är „ovänliga’ på grund av sin komplexitet, men i takt med att kompetens, kunskap och erfarenhet av SAP®-system ökar kommer obehaget att försvinna.

Var och hur ska man leta efter säkerhetsanvisningar?

Det enklaste svaret är: på SAP® Support Portal (https://support.sap.com/securitynotes). Länkar av olika slag, som bland annat ‘Expert Search’, får inte förbises. Det rekommenderade alternativet är dock att ha en effektiv Solution Manager för att enkelt hålla systemen „up to date”.

Hur då? Det är bara lite svårare. När den här artikeln skrivs finns säkerhetsanteckningar på SAP® Launchpad i avsnittet ‘Systemdrift och underhåll’, ‘SAP Security Notes’.

Till att börja med kommer själva plattan att berätta hur många säkerhetsanteckningar det finns att granska.
Om det är ett betydande antal, då... dåligt! Någon presterar inte rutin kontroller. Man kan bortförklara den regelbundna uppdateringen av systemet, men bara delvis. Den uttryckliga rekommendationen är att varje kund måste regelbundet gå igenom listan med anteckningar och måste för varje post kontrollera om säkerhetsanmärkningen är lämplig för det system som innehas, och vad som ska göras om det är nödvändigt att tillämpa anteckningen.

Flera filter finns tillgängliga för att verifiera säkerhetsanmärkningarnas lämplighet, t.ex: system (berör det oss), kategori (t.ex. programfel), prioritet (betydelse) osv.

Patch Day Notes - till undsättning

Dessa specifika anmärkningar publiceras regelbundet, på den så kallade SAP® Security Patch Day, på varannan tisdag i varje månad. Samlingen av dessa anteckningar sträcker sig från prioritet ‘Låg’ till ‘HotNews’, mycket ofta rapporterade av externa källor, i de flesta fall med CVSS-poäng.
CVSS står för ‘Common Vulnerability Scoring System’ och är utformat för att ge en karakterisering av en säkerhetssårbarhet och dess kritikalitet i punktform. I den här artikeln kommer vi inte att fokusera på exakt vad som utgör CVSS-scoring, men det är ändå värt att bekanta sig med. Det finns gott om material och dokumentation att tillgå på nätet.

Anteckningar om patchdagen bör (och till och med måste) vara en av beståndsdelarna i den minsta nödvändiga
i säkerhetsadministratörens kalender.

Sammanfattning

RSECNOTE? När var det...? Förr var det en trevlig „programvara”. Idag - rädda dig själv om du kan!
Tja, kanske en hel del överdrift, men budskapet är tydligt. Vi använder inte längre den här funktionaliteten. Så varför har den tagits upp här? Som en startpunkt för ovanstående ämne, som kommer att leda oss till: 1890782 - RSECNOTE stöds inte längre och https://support.sap.com/sysrec och, genom att följa tråden, till en hel del intressant information som utvidgar ovanstående fråga.

Nåväl, njut av din läsning och som de säger -. VAR I SÄKERHET 🙂