Внедрение вредоносной команды интерпретатора (ABAP)

Эффект старой плёнки.

Есть в SAP HCM стандартная транзакция PAR1 (Гибкие данные сотрудников). Но при внедрении у пользователей были хотелки, которые в стандарте невозможны. Скопировали транзакцию в Z-область. Допилили её так, как хотелось пользователям. Добавили инфотипы, ещё кое-что по мелочи. Дело нехитрое.

Затемнение.

Прошло десять лет.

И вот пришёл сторонний аудитор и сделал нам SCA при помощи стороннего инструмента, который где-то прикупил.

И выкатил нам результат. Пэдээфку. И ушёл в закат.

Программа зетовская? Зетовская. Значит надо проверять? Значит надо.

А данные-то «гибкие», значит и отчёт «гибкий». А если ABAP гибкий, но старый, то значит там будет что?

Звучит тревожная музыка.

Там будет кодогенерация (например: generate subroutine pool). А если кодогенерация, то чёрт-знает-что там может нагенерироваться. Ужас, боюсь даже представить. И в пэдээфке такие конструкции попадают в раздел «Внедрение вредоносной команды интерпретатора».

Звучит финальная музыкальная фраза из Ералаша.

Появляется выбор вариантов и таймер обратного отсчёта:

А) Кого-то убедить, что этого раздела не существует. А раз аудитор ушёл в закат, то убеждать остаётся пэдээфку.

Б) Убедить руководителя наверху, что «внедрение вредоносной команды интерпретатора» это мелочь, на которую можно не обращать внимания.

В) За время таймера переписать эту транзакцию так, чтобы в ней не было кодогенерации.

Г) Удалить эту Z-транзакцию и вернуть пользователям стандарт.

Вот так и живём.

Добавить комментарий

Ваш e-mail не будет опубликован.