Abap Forum on Gate²App

[Claire3315]

Hallo,

gelegentlich müsse Transportaufträge von Fremdfirmen eingespielt werden. Diese sollen zum einen auf die Objekte im Transportauftrag (keine SAP-Objekte) und zum anderen auf den Code der Programme (gefährliche SQL-Statements) geprüft werden.
Nun die Fragen:
- Wie verfahrt ihr in solchen Fällen?
- Kann die Prüfung vereinfacht oder automatisiert werden?
- Gibt es noch weitere Kriterien die geprüft werden sollten?

Vielen Dank für eure Antworten.

[Lavinia3875]

gelegentlich müsse Transportaufträge von Fremdfirmen eingespielt werden. Diese sollen zum einen auf die Objekte im Transportauftrag (keine SAP-Objekte) und zum anderen auf den Code der Programme (gefährliche SQL-Statements) geprüft werden.
Nun die Fragen:
- Wie verfahrt ihr in solchen Fällen?
- Kann die Prüfung vereinfacht oder automatisiert werden?
- Gibt es noch weitere Kriterien die geprüft werden sollten?

Darauf gibt es eine klare Antwort: Es kommt drauf an. Zum Beispiel darauf, welches Verhältnis ich zu dem Coding habe. Bin ich der Betriebsverantwortliche für den SAP-Betrieb (und nehme das Coding mit in meine Wartungsverträge) ist das etwas anders als wenn ich als Externer gebeten werde: Guck doch mal drauf ob die da Mist auf meiner Maschine machen.

Wie weit so eine Prüfung geht, hängt vom Bedarf desjenigen ab, der das Coding warten soll. Ich bin da durchaus streng, ich erwarte *-Kommentarzeilen für jede nichttriviale Codingstrecke. Ich programmiere sehr kompakt, aber kommentiere auch entsprechend viel. Meine SELECTs sind schwer zu lesen, wenn es keinen Kommentar dazu gibt. Da sind Kommentarblöcke vor einem Select, die mehrere Zeilen umfassen, nicht selten. Ein Entwickler kriegt alles zur Nachbearbeitung zurück, das ich nicht auf Anhieb verstehe. Und sowas wie nichttypisierte Variablen, etc. geht schon gleich gar nicht.

Und nein: Automatisieren kann man eine solche Prüfung nicht, soll sie nicht an Zuverlässigkeit verlieren. Ich veranschlage üblicherweise 30-50% der Entwicklungszeit für den QS-Prozess in Bezug auf das Coding. Auf Anforderungen, "schneller" zu prüfen, reagiere ich mit Auftragsablehnung. Ich hatte schon den Fall, dass sich ein Kunde über einen halben Tag Prüfungsaufwand beschwerte, es dann nach der Produktivsetzung knallte und ich ihm seine Beschwerde ob der zu langen Prüfungszeit um die Ohren gehauen habe.


Ralf

[Claire3315]

Es ist eher der Fall "Guck doch mal drauf ob die da Mist auf meiner Maschine machen".
Der Code wird weiterhin von der Fremdfirma aktualisiert und gepflegt. Es ist also egal wie verständlich der Code ist.
Das Problem dabei ist wie kann ich relativ schnell prüfen welcher Code irgenwelchen Schaden anrichten kann.
Reicht es zum Beispiel aus alle SQL-Staments zu prüfen, um zu sehen, dass keine Inhalte von kritischen Tabellen verändert werden oder Transaktionen aufgerufen werden für die der User keine Berechtigung hat.
Desweitern müsste der Transportauftrag auf die Objekte kontrolliert werden. Darüber könnten auch Tabelleninhalte verändert werden.
Gibt es noch weitere Vorschläge?

[Marion1009]

Es ist eher der Fall "Guck doch mal drauf ob die da Mist auf meiner Maschine machen".
Der Code wird weiterhin von der Fremdfirma aktualisiert und gepflegt. Es ist also egal wie verständlich der Code ist.
Das Problem dabei ist wie kann ich relativ schnell prüfen welcher Code irgenwelchen Schaden anrichten kann.
Reicht es zum Beispiel aus alle SQL-Staments zu prüfen, um zu sehen, dass keine Inhalte von kritischen Tabellen verändert werden oder Transaktionen aufgerufen werden für die der User keine Berechtigung hat.
Desweitern müsste der Transportauftrag auf die Objekte kontrolliert werden. Darüber könnten auch Tabelleninhalte verändert werden.
Gibt es noch weitere Vorschläge?

Nein, es reicht nicht aus bestimmte Statements zu prüfen. Nur ein Entwickler
mit sehr viel Erfahrung kann Code so inspizieren, daß eine Gefährdung
ausgeschlossen oder zumindest unwahrscheinlich ist.
Es gibt so viele Möglichkeiten "Mist" zu machen, daß ich behaupten würde,
daß ich Code so verstecken kann daß das keiner findet ; jedenfalls
nicht ohne daß ein Verdacht vorliegt.
Ich habe auch schon mehreren Kunden nachgewiesen, daß ich mich in weniger
als 10 min. auf Ihren System als User mit SAP_ALL anmelden kann. Das hat
vor dem Beweis auch keiner geglaubt; meine Hinweise auf Sicherheitslücken
wurden danach aber nicht mehr so einfach abgetan...
Grundsätzlich kann jemand der Coding in ein System einbringen kann, dort
sehr sehr viel (praktisch fast alles) machen - auch ohne daß man das sieht.

Gruss
Daniel

[Claire3315]

Vielen Dank. Das mit der Code-Prüfung ist nun klar geworden. Jetzt stellt sich noch eine andere Frage.
Wie kann ich ein Programm bzw. den Transportauftrag von einer Fremdfirma weider rückgängig machen?
Kann ich aus dem Transportauftrag ein Löschauftrag oder sowas ähnliches erstellen?

[Lavinia3875]

Wie kann ich ein Programm bzw. den Transportauftrag von einer Fremdfirma weider rückgängig machen?

Mit Standardmitteln? Nur händisch. Versionen zurückdrehen, daraus neuen Transportauftrag machen, neu transportieren. Hilft dir natürlich da nicht weiter, wo es keine Versionsverwaltung gibt. Pech, sagt die SAP.


Ralf

[ewx]

das wäre doch mal was: Ein Deinstaller für SAP...!
"Irgendwo" bei einem Import protokollieren, was Importiert wurde oder evtl. Tabelle VRSD auslesen und dann zu jedem Objekt die entsprechende Version wieder herstellen, bzw löschen.

[Marion1009]

das wäre doch mal was: Ein Deinstaller für SAP...!
"Irgendwo" bei einem Import protokollieren, was Importiert wurde oder evtl. Tabelle VRSD auslesen und dann zu jedem Objekt die entsprechende Version wieder herstellen, bzw löschen.

Für bereits Importierte Objekte kommt das protokollieren zu spät.
Ein Umfeldermittler könnte die Objekte selektieren. Wenn weitere
Verwendungen vorliegen findet man das auch heraus. Dann noch
schnell ein Backup aller Objekte vor dem Löschen und los gehts...
Technisch keine Herausforderung.
Ich habe aber nicht den Eindruck, daß es dafür einen Markt gibt

Gruss
Daniel

[Tron]

Moin,
Deinstaller ... oder besser formuliert: der STMS - UNDO BUTTON.
Ich habe eine Kollegen der, aus Versehen einen Sammeltransport importiert hat und mich dann nach dem UNDO Button gefragt hat.
Ich konnte ihm aber leider nicht helfen. Es muss also nicht zwingend eine Löschung sein, die Probleme bereitet.

Ich habe aber nicht den Eindruck, daß es dafür einen Markt gibt

Naja, ich denke, das Niemand mit der Möglichkeit rechnet, das Ihm/Ihr so eine Panne unterlaufen könnte.
Was die technische Herausforderung angeht, ist es schwierig einen Einsprungpunkt in der STMS zu finden, der geeignet ist, zuvor ein Backup durchzuführen, bevor der Import startet (was dann ja eh von aussen über TP.EXE und R3trans.exe geschieht ) Zudem muss beachtet werden, das eventuelle Tabelleninhalte auch gerettet werden müssen. Desweiteren müsste jedes Objekt EINZELN vorher exportiert werden, ohne die vorhandenen Importqueues "durcheinander" zu bringen, je nach Anspruch.

gruß TRon

[Marion1009]

Ich habe eine Kollegen der, aus Versehen einen Sammeltransport importiert hat und mich dann nach dem UNDO Button gefragt hat.

In einem ähnlichen Fall (falscher Auftrag im Prod importiert, der enthielt ALLE
RFC-Definitionen des Test-Systems) konnte ich helfen;
die Tabellenänderungen der Tabelle werden zum Glück aufgezeichnet.
Daraus konnte ich den ursprünglichen Inhalt wieder herstellen. War aber nicht
lustig, das System ist so stark vernetzt, daß praktisch nichts mehr lief

Naja, ich denke, das Niemand mit der Möglichkeit rechnet, das Ihm/Ihr so eine Panne unterlaufen könnte.

Vermutlich nicht. Und wenn es dann doch passiert ist würde niemand danach suchen. Im oben genannten Fall habe ich das auch nicht gemacht ;
dafür war einfach keine Zeit - das System musste unter allen Umständen wieder
zum laufen gebracht werden.
Den Report dazu habe ich so ausgebaut, daß er beliebige Rekonstruktionen
erlaubt. Glaubst du jemand würde danach im Falle eines Falles suchen?
Wenn ja, wo denn?

Was die technische Herausforderung angeht, ist es schwierig einen Einsprungpunkt in der STMS zu finden, der geeignet ist, zuvor ein Backup durchzuführen, bevor der Import startet

Das würde ich gar nicht erst versuchen (wäre im Zweifel ohnehin zu spät).
Ein Backup würde ich vor dem Löschen bzw. Laden alter Versionen machen. Natürlich muss das für alle Objekte und Tabellen gemacht werden!
(das Coding dafür habe ich ja )

Gruss
Daniel