SAP SQL Anywhere

О продукте

SQL Anywhere является реляционной системой управления базами данных (СУБД) первоначально разработанной компанией компания Sybase. В 2010 году продукт вместе с командой разработчиков был куплен немецкой компанией SAP, которая и занимается его разработкой.

SQL Anywhere – СУБД для управления и синхронизации данных, для приложений, работающих в удалении от центров обработки данных. С момента своего создания SQL Anywhere была разработана таким образом, чтобы предоставлять набор функций, характерный для стандартной корпоративной базы данных: высокую производительность и надежную синхронизацию для сетевых. Продукт предназначен для встроенных и мобильных систем.

Функции и преимущества

• На базе SQL Anywhere возможна разработка высокопроизводительных приложений, требующих для своей поддержки минимального участия администратора БД, а иногда, и не требующих его наличия вовсе. Это достигается за счет наличия в SQL Anywhere, самонастраивающегося оптимизатора запросов и функций динамического управления размером КЭШа. Приложения на базе SQL Anywhere могут обрабатывать 20 000 транзакций в минуту, обслуживать тысячи пользователей и работать с сотнями гигабайт данных.

• В состав SQL Anywhere включены надежные механизмы синхронизации корпоративного класса, что обеспечит надежную и защищенную интеграцию локального, работающего с данными приложения и корпоративной БД. Это единственная технология синхронизации, обеспечивающая синхронизацию данных между популярными мобильными устройствами и базами данных Sybase, Microsoft, Oracle, MySQL и IBM на предприятии.

• СУБД SQL Anywhere с самого начала проектировалась в расчете на встраивание в серверные приложения, приложения удаленных рабочих групп или мобильные приложения. Она содержит множество функций самообслуживания, таких как автоматическое администрирование, резервное копирование и подстройка, режим скрытой работы и процесс инсталляции, интегрирующийся с процессом инсталляции приложения, - все это делает исключительно легким ее широкое развертывание с любой прикладной программой.

• Создавая приложения обработки данных на основе SQL Anywhere, разработчики оценят передовые возможности и гибкость платформы, а также совместимость со стандартами SQL и ANSI. Такие возможности, как OLAP, материализованные представления, изоляция снимков, полнотекстовый поиск, регулярные выражения.

Языки программирования

C#, VB.NET, C, C++, ASP, Java, PHP, Perl

Триальные версии

• SQL Anywhere Developer Edition
• SQL Anywhere Web Edition
• SQL Anywhere Educational Edition

История

2025: СУБД SAP оказалась «дырявой»: по вшитому в неё паролю можно зайти во встроенные системы

НКЦКИ в двадцатых числах ноября разослал бюллетень^[1] об обнаружении критической уязвимости BDU:2025-14425^[2] в базе данных SAP SQL Anywhere. Она относится к классу жесткого кодирования регистрационных данных (CWE-798), что фактически означает наличие предопределенных производителем учетных данных. Уязвимость получила наивысшую оценку опасности – 10 (из 10).

𝓲

Фото: Ideogram

SAP SQL Anywhere — это комплексное решение, включающее как саму СУБД, так и инструменты для управления, синхронизации и обмена данными. Оно обеспечивает быструю разработку и развёртывание приложений в условиях удалённого офиса или в мобильном окружении.

Ранее продукт назывался Sybase SQL Anywhere, но был переименован после покупки немецкой SAP американского разработчика Sybase в 2010 году. В свое время продукты Sybase были достаточно популярны у российских пользователей.

SAP SQL Anywhere позиционируется как встраиваемая реляционная СУБД, ориентированная на работу во встроенных, мобильных и распределённых средах, особенно в условиях нестабильного или ограниченного сетевого подключения, — прояснил TAdviser Тимур Цыбденов, ведущий инженер по продукту SafeERP компании «Газинформсервис». — Что касается её применения в России, эта система не получила широкого распространения в сравнении с более мощными и популярными решениями, такими как SAP HANA, Oracle или Microsoft SQL Server.

По словам эксперта, функциональность SQL Anywhere ограничена в сравнении с современными корпоративными базами данных, что делает её малопригодной для реализации сложных и масштабируемых проектов. На сегодняшний день SQL Anywhere в основном встречается в рамках унаследованных или узкоспециализированных систем, которые ещё не были модернизированы.

Кроме того, сама компания SAP официально объявила о прекращении технической поддержки SQL Anywhere с 31 декабря 2028 года, что делает её дальнейшее использование нецелесообразным с точки зрения долгосрочной стратегии развития ИТ-инфраструктуры.

Уязвимость присутствует в инструменте администрирования базы данных SQL Anywhere Monitor СУБД SAP SQL Anywhere. Она позволяет нарушителю, действующему удалённо, зайти под именем администратора и оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.

Речь идет о недостатке по классификации CWE-798 — использовании жестко заданных учетных данных, — уточнил для читателей TAdviser Александр Колесов, руководитель направления развития и исследований «Бастион». — Что вообще представляет из себя данный недостаток? Разработчики для удобства работы сохранили в исходном коде некую учетную запись и ее пароль. Обычно такое встречается, когда система разрабатывается, чтобы было проще ее тестировать. После окончания разработки учетную запись, видимо, не удалили. Злоумышленникам это дает явное преимущество — зная пароль, можно зайти в любую систему, так как заданная комбинация жестко запрограммирована для системы.

Теоретически, уязвимости подобного типа должны удаляться на этапе тестирования в правильно организованном цикле безопасной разработки. Наличие такой ошибки говорит о качестве процесса разработки ПО у производителя, который собирается выводить данный продукт из эксплуатации. Причём уязвимой является относительно недавняя версия 17.0. В середине ноября ошибка была исправлена разработчиком – обновления распространяются в ноябрьском пакете.

Уязвимость заключается в том, что если у злоумышленника уже есть доступ к серверу, где работает служба мониторинга, он может получить все пароли/ключи, которые использует внутри себя сервис в открытом виде, и применить их для реализации нескольких типов атак, — прояснила для TAdviser ситуацию Татьяна Куцовол, ведущий аналитик-исследователь ИБ центра разработки решений по контролю безопасности ПО appScreener. — Например, использование легитимных учётных данных (Valid Accounts) для доступа к самой SQL Anywhere и другим внутренним системам от имени доверенной учётной записи.

Эту же уязвимость также можно использовать и для горизонтального перемещения по сети после получения первичного доступа к внутренним сервисам для перехода на соседние информационные системы. Также обнаруженная ошибка может быть использована для эскалации текущих привилегий при использовании учётных записей с расширенными правами.

SAP SQL Anywhere в России встроен в отраслевые решения, в кассовые системы, мобильные рабочие места, ERP-модули, медицинское и транспортное ПО, — заявил TAdviser Михаил Тимаев, руководитель отдела технического пресейла IT Task. — Поэтому уязвимость, связанная с хранением паролей в открытом виде, затрагивает не единичные установки, а прикладные системы, которые работают в архитектуре. Главная опасность здесь в том, что доступ к незашифрованным паролям дает злоумышленнику прямой вход в базу данных и позволяет развивать атаку дальше.

Появление подобной ошибки — хороший подвод перейти на более современные технологические стеки. Однако если это по каким-то причинам невозможно, то стоит как минимум строго контролировать доступ к подобным унаследованным компонентам. Татьяна Куцовол также рекомендует ограничить права сервисных учётных записей, защитить процесс и память, чтобы невозможно было извлечь секреты через анализ памяти и аналогичные техники исследования, использовать защищённые каналы связи между внутренними сервисами для передачи чувствительной информации только в зашифрованном виде.

2015: SAP выпустила SQL Anywhere версии 17

В июле компания SAP представила версию 17 встраиваемой базы данных SQL Anywhere^[3]. Некоторые особенности этой версии:

• Адаптация к платформам интернета вещей. SQL Anywhere автоматически обнаруживает изменения в среде развёртывания и оптимизирует производительность.
• Поддержка множества современных языков программирования и сред, включая хранимые процедуры и функции JavaScript.
• Улучшенное шифрование и изоляция данных. Данные остаются защищёнными во время хранения на периферийных устройствах и во время синхронизации с центром обработки данных, независимо от того, находится ли этот центр обработки данных локально или в облаке.
• Сокращение времени простоя, связанного с обслуживанием базы данных и обновлением приложений. Это стало возможным благодаря таким функциям, как оперативная перестройка, динамический запуск и остановка протоколов подключения и восстановление на определённый момент времени.

2011: SQL Anywhere OnDemand Edition

13 сентября 2011г. Sybase, Inc. анонсировала новый продукт, предназначенный для удовлетворения спроса независимых поставщиков программного обеспечения на простые средства управления данными и развертывание мультитенантных приложений на мощностях операторов услуг. SQL Anywhere OnDemand Edition содержит набор рассчитанных на облачное применение инструментов и функций, позволяющий поставщикам ПО управлять данными для облачных приложений и обеспечивающий удовлетворение как их собственных потребностей, так и потребностей их заказчиков. Объявление было сделано на конференции Sybase TechWave, проводимой совместно с конференцией SAP® TechEd 2011 в Лас-Вегасе (шт. Невада) с 12 по 16 сентября.

SQL Anywhere OnDemand Edition — единственное облачное средство управления данными, позволяющее независимым поставщикам ПО сочетать управление базами данных, используемыми прикладными программами, с обеспечением надлежащих уровней безопасности данных и высокоуровневого управления, необходимых заказчикам (при этом базы данных могут масштабироваться в широких пределах). Sybase в состоянии удовлетворить обеим потребностям благодаря прагматическому подходу, позволяющему поставщикам ПО изолировать друг от друга данные разных тенантов, сохраняя простоту управления. SQL Anywhere OnDemand Edition позволяет поставщикам программных средств создавать и развертывать облачные приложения, а также управлять ими без компромиссов, тем самым реализуя преимущество эффекта масштаба с гарантией изоляции данных заказчиков от посторонних программ.

Независимые поставщики программных средств сегодня испытывают потребность в возможности свободного перемещения своих программ между публичными, частными и гибридными облаками — без привязки к какому-либо одному оператору облачных услуг. Многие поставщики, оперирующие приложениями, работающими на их собственных мощностях, озабочены проблемой сохранения и расширения клиентской базы без усложнения процесса разработки. Благодаря тому, что SQL Anywhere OnDemand Edition не привязывает вендоров к конкретным облачным сервисам или архитектуре управления данными, те могут создавать облачные приложения, могущие функционировать как в публичных облаках, так и на мощностях вендора, в соответствии с индивидуальными потребностями заказчиков.

SQL Anywhere OnDemand Edition имеет следующие возможности:

• Динамическое выделение мощностей БД — выделение и высвобождение вычислительных мощностей по требованию; возможность совместного использования вычислительных ресурсов разными тенантами для получения эффекта масштаба; изоляция данных разных тенантов на уровне файлов.
• Масштабирование тенантов — поддержка работы приложений «масштаба Web» с увеличением числа тенантов до тысяч.
• Атомарные базы данных тенантов — каждая база данных обслуживается индивидуально, обеспечивается настройка функционирования и резервного копирования в соответствии с требованиями заказчика, а также прямой доступ заказчика; базы данных находятся в условленных размещениях с исключением перемещения при необходимости.
• Мультитенантная безопасность — управление полномочиями и аутентификацией для каждой базы осуществляется независимо; поддерживается шифрование тенантов по отдельности; замкнутые информационные хранилища изолированы от всех других тенантов в системе.
• Полностью реляционная СУБД — решение строится на проверенной РСУБД SQL Anywhere, имеющей миллионы инсталляций и обеспечивающей всестороннюю поддержку SQL и реляционных моделей данных.
• Облачные средства управления — рассчитаны на удовлетворение потребностей независимых поставщиков ПО, имеющих тысячи баз данных, сотни серверов и множество версий программ и схем.

«Независимые поставщики ПО испытывают сильное давление со стороны корпоративных клиентов, желающих получить удобства, свойственные прикладным сервисам по требованию, вместе с гибкостью и безопасностью, присущими их локальным прикладным системам, — заявил Терри Степьен (Terry Stepien), президент Sybase iAnywhere. — SQL Anywhere OnDemand Edition — действительно уникальное для отрасли предложение. Этот продукт позволяет поставщикам ПО обеспечить требуемые заказчиками уровни безопасности и высокоуровневого управления, гарантируя в то же время простоту управления системой, позволяя гибко сочетать использование частных облаков с публичными сервисами для максимальной защиты от глобальных сбоев собственных инфраструктур».

2010

SQL Anywhere 12

В июле 2010 года компания Sybase анонсировала новую версию продукта SQL Anywhere 12, системы управления базами данных и синхронизации. Новая версия предлагает ряд нововведений, включая возможности хранения и синхронизации пространственных данных, поддержку устройств iPhone, а также синхронизации больших объемов данных.

Одним из наиболее значительных усовершенствований является возможность синхронизации больших объемов данных. Теперь система SQL Anywhere 12 может эффективно управлять потоками информации, поступающими с многочисленных мобильных устройств. Список поддерживаемых мобильных платформ теперь включает в себя устройства Apple iPhone (в дополнение к платформам Blackberry и Windows Mobile).

Новая функция Server Scale-Out, представленная в редакции Advanced Edition, позволяет сократить нагрузку на критически важные серверы за счет передачи задач, связанных с обработкой отчетов и данных «только для чтения» на параллельно работающие серверы. Кроме того, реализованы встроенные механизмы самоуправления, такие как функция Server Thread Auto-tuning, которая обеспечивает автоматическую адаптацию потоков данных к текущим нагрузкам.

Пользователям SQL Anywhere 12 предлагается расширенная поддержка пространственных данных. Новая версия продукта поддерживает запросы с привязкой к географическим координатам, предлагает дополнительные средства управления пространственными данными и их синхронизацию, поддерживает стандарты OGC и SQLMM и располагает встроенными механизмами экспорта данных в форматы KML, GML и SVG.

Новые инструменты, включенные в состав пакета, упростят выполнение операций по мониторингу, диагностике и развертыванию механизмов синхронизации на различных клиентских устройствах. Пользователи также смогут смоделировать любую операцию по синхронизации данных перед ее непосредственным выполнением.

Разработчики программного обеспечения оценят более тесную совместимость продукта с базами данных Oracle и MySQL, поддержку сред разработки .NET 4.0 и Visual Studio 2010, а также расширенные возможности полнотекстового поиска и фильтрации данных.

SAP приобрел компанию Sybase

Самый крупный в мире разработчик корпоративного ПО, SAP приобрел компанию Sybase за $5.8 млрд. Компания была известна прежде всего как один из ведущих разработчиков СУБД и мобильных приложений для бизнеса.^[4]

Версии

• 1992 - Version 3
• 1994 - Version 4
• 1995 - Version 5
• 1998 - Version 6
• 1999 - Version 6.0.2
• 2000 - Version 7
• 2001 - Version 8
• 2003 - Version 9
• 2006 - Version 10
• 2008 - Version 11
• 2010 - Version 12

Функции базы данных

• Масштабируемые конфигурации баз данных только для чтения
• Мониторинг серверов БД на базе веб-интерфейса
• Пространственные данные
• Генератор последовательности
• Поддержка выражений выборки из DML
• Блокировка на уровне строк
• Высокопроизводительный, самонастраивающийся, основанный на вычислении стоимости оптимизатор запросов
• Продвинутые алгоритмы исполнения запросов
• Динамическое выставление размеров кэша
• Материализованные представления
• Изоляция снимков
• Полнотекстовый поиск
• Сжатие колонок
• Хранимые процедуры и триггера на SQL и Java
• Внешние хранимые процедуры на ESQL, ODBC, Java, CLR(.NET), Perl и PHP
• Поддержка Binary Large Object(BLOB)
• Импорт/экспорт XML и поддержка функциональности SQLX
• Зеркалирование баз данных и поддержка кластера
• Дефрагментация индексов и таблиц в режиме реального времени
• Резервное копирование в режиме реального времени
• Планировщик и обработчик событий
• Режим работы в оперативной памяти (In-memory mode)
• Создание и использование веб-сервисов
• Поддержка устойчивого шифрования для файлов баз данных и данных, передаваемых по сети
• Шифрование таблиц, настраиваемый аудит, правила для создания паролей, хеширование SH256, аутоинтефикация Kerberos
• Соответствие FIPS 140-2
• Встроенный HTTP сервер
• Удаленный доступ к другим СУБД и файловой системе
• Поддержка On Line Analytical Processing (OLAP)
• Интернационализация, включающая в себя поддержку типа данных NCHAR, чувствительность к знаку ударения, поддержку Unicode Collation Algorithm и ICU Unicode
• Интеграция с Windows Performance Monitor

Функции для разработки

• Пространственные данные
• Утилиты для профилирования приложений
• Инструменты для графического проектирования схемы БД и для выполнения операции обратного проектирования
• Графические инструменты для управления базами данных и просмотра ее объектов
• Графическое представление плана запросов, редактор запросов, встроенный отладчик хранимых процедур, профилировщик и инструмент для мониторинга синхронизации данных, графический просмотр пространственных данных
• Консультант по индексам
• Родной доступ к базе через ADO.NET, OLE DB, ODBC3.5/level 2, JDBC 3.0, Embedded SQL и Sybase Open Client
• Поддержка широкого спектра инструментов разработки, включая Sybase PowerBuilder, Microsoft Visual Studio, Borland Delphi , Eclipse и многое другое
• Поддержка .NET 2.0 и выше
• Поддержка широкого спектра языков программирования, включая C#, VB.NET, C/ C++, ASP, ASP.NET, JSP, Java, PHP и Perl DBD
• Расширенная поддержка OLAP, включая роллап, рекурсивное объединение, пересечение и объединение индексов
• Поддержка доступа для людей с ограниченными возможностями в соответствии с законом `О реабилитации`, раздел 508, выпущенным федеральным правительством США

Параметры базы данных

• Количество баз на один сервер: 255
• Размер базы: ограничивается только размером памяти, дискового пространства и ограничениями платформы
• Количество символов в наименованиях объектов БД: 128

Параметры таблицы

• Индексов на таблицу: до 2048
• Размер таблицы: ограничивается только размером файла
• Таблиц в базе данных: до 4 миллиардов
• Колонок в таблице: 45000
• Размер поля: 2 GB
• Количество записей в таблице: ограничивается только размером файла
• Размер строки: ограничивается только размером файла

Параметры триггеров и хранимых процедур

• Максимальный размер хранимой процедуры: 2 GB
• Хранимых процедур в базе: до 4 миллиардов
• Триггеров в базе: до 4 миллиардов
• Уровень вложенности: ограничивается дисковым пространством и памятью сервера

Платформы

• Windows, Windows CE, Mac OS X, большинство UNIX платформ, включая Linux, AIX, HP-UX и Solaris.

Ссылки

Официальный сайт

Примечания