Компания «Газинформсервис» представила квартальное обновление SafeERP 4.9.8 — программного комплекса для защиты корпоративных ERP-систем и процессов разработки. Новая версия усиливает контроль безопасности SAP и 1С, снижает операционные риски и повышает эффективность команд разработки.
Security Suite: защита SAP-ландшафта
Модуль комплексной защиты SAP (анализ кода ABAP и контроль настроек платформы) получил инструменты для точного управления правами доступа и минимизации ложных срабатываний:
1. Усиленный контроль ролевой модели SAP Java — автоматически выявляет избыточные привилегии, несоответствия полномочий и ошибки конфигурации. Это снижает риски внутренних инцидентов и упрощение прохождения аудитов безопасности.
2. Сравнение ролей — новая проверка позволяет сопоставлять две роли по агентам и мандантам, мгновенно обнаруживая различия в правах доступа, для ускорения анализа ролевой модели при реорганизациях и аудитах, экономия времени администраторов безопасности;
3. Персонализированные отчёты — выгрузка данных по критичности, категориям уязвимостей и другим параметрам для управленческих решений. Это позволяет вести прозрачную отчётность перед руководством и регуляторами;
4. Управление ложными срабатываниями (ЛПС) — найденные уязвимости можно помечать как ЛПС, исключая их из последующих сканирований, позволяя сократить временя анализа результатов на 30–40% и сделав фокус команды безопасности на реальных угрозах;
5. Добавлена проверка SAP NOTE и возможность их обновления — критичный функционал для поддержания защищённости системы.
Extension Module: полный контроль безопасности 1С
Модуль комплексной защиты 1С (анализ кода и настроек платформы) получил следующие обновления:
1. Массовые уведомления по email — автоматическая рассылка изменений статусов уязвимостей («утверждено», «ЛПС», «на доработку») всем участникам проекта. Это делает прозрачным процесс устранения уязвимостей, сокращает время согласований между командами безопасности и разработки;
2. Детализированный отчёт в Excel — сводная информация по проекту, фильтруемый поиск по недостаткам и оптимизированная структура данных. Это упрощает анализ для руководителей и подготовку отчётов для регуляторов;
3. Конструктор собственных проверок — новые шаблоны позволяют создавать кастомные правила анализа платформы 1С под специфику бизнес-процессов компании;
4. Управление исключениями — возможность добавлять найденные недостатки платформы 1С в белый список, снижает шум от повторяющихся несущественных срабатываний, повышает точность мониторинга;
5. Дашборд «Контроль настроек» — визуализация количества и критичности уязвимостей, их динамики во времени, рейтинг проверок с наибольшим числом срабатываний. Это важно для быстрой оценки защищённости системы для принятия управленческих решений.
Extension Module+: DevSecOps для всего цикла разработки
Модуль инструментов безопасной разработки (SAST, DAST, PENTEST) расширяет покрытие технологического стека:
1. Новый инструмент SCA (Software Composition Analysis) — анализирует зависимости open source на предмет актуальности, известных уязвимостей и соответствия лицензионным требованиям. Бизнес-выгода заключается в защите от рисков использования устаревших или уязвимых библиотек, соблюдении лицензионной дисциплины, снижении правовых рисков;
2. Автоматизация DAST-сканирований — запуск проектов динамического анализа веб-приложений по расписанию.
Модульная архитектура — гибкость инвестиций
«В этом релизе мы сознательно сосредоточились не на отдельных точечных функциях, а на усилении повседневной работы команд, отвечающих за безопасность и разработку. Большинство изменений в SafeERP 4.9.8 направлены на снижение ручной нагрузки: меньше времени на разбор результатов, меньше неопределённости при работе с ролями, настройками и уязвимостями, больше прозрачности для принятия решений», — подчёркивает Римма Кулешова, менеджер продукта SafeERP компании «Газинформсервис».
Она сообщает: команда разработки усилила контроль ролевых моделей, работу с SAP Security Note, управление ложными срабатываниями и отчётность, потому что именно в этих зонах заказчики чаще всего сталкиваются с потерей времени и ростом рисков. «В результате система не просто находит проблемы, а помогает быстрее понять их значимость, расставить приоритеты и довести исправления до результата — без перегрузки команд и без потери управляемости», — добавляет эксперт.
