Газинформсервис: SafeERP

SafeERP - программный комплекс, предназначен для защиты систем на платформе SAP NetWeaver.

2026: SafeERP 4.9.8

10 февраля 2026 года компания Газинформсервис представила квартальное обновление SafeERP 4.9.8 — программного комплекса для защиты корпоративных ERP-систем и процессов разработки. Данная версия усиливает контроль безопасности SAP и 1С, снижает операционные риски и повышает эффективность команд разработки.

𝓲

Фото: Газинформсервис

По информации компании, модуль комплексной защиты SAP (анализ кода ABAP и контроль настроек платформы) получил инструменты для точного управления правами доступа и минимизации ложных срабатываний:

• Усиленный контроль ролевой модели SAP Java — автоматически выявляет избыточные привилегии, несоответствия полномочий и ошибки конфигурации. Это снижает риски внутренних инцидентов и упрощение прохождения аудитов безопасности.
• Сравнение ролей — проверка позволяет сопоставлять две роли по агентам и мандантам, обнаруживая различия в правах доступа, для ускорения анализа ролевой модели при реорганизациях и аудитах, экономия времени администраторов безопасности.
• Персонализированные отчёты — выгрузка данных по критичности, категориям уязвимостей и другим параметрам для управленческих решений. Это позволяет вести прозрачную отчётность перед руководством и регуляторами.
• Управление ложными срабатываниями (ЛПС) — найденные уязвимости можно помечать как ЛПС, исключая их из последующих сканирований, позволяя сократить время анализа результатов на 30–40% и сделав фокус команды безопасности на реальных угрозах.
• Добавлена проверка SAP NOTE и возможность их обновления — критичный функционал для поддержания защищённости системы.

Модуль комплексной защиты 1С (анализ кода и настроек платформы) получил следующие обновления:

• Массовые уведомления по email — автоматическая рассылка изменений статусов уязвимостей («утверждено», «ЛПС», «на доработку») всем участникам проекта. Это делает прозрачным процесс устранения уязвимостей, сокращает время согласований между командами безопасности и разработки.
• Детализированный отчёт в Excel — сводная информация по проекту, фильтруемый поиск по недостаткам и оптимизированная структура данных. Это оптимизирует анализ для руководителей и подготовку отчётов для регуляторов.
• Конструктор собственных проверок — шаблоны позволяют создавать кастомные правила анализа платформы 1С под специфику бизнес-процессов компании.
• Управление исключениями — возможность добавлять найденные недостатки платформы 1С в белый список, снижает шум от повторяющихся несущественных срабатываний, повышает точность мониторинга.
• Дашборд «Контроль настроек» — визуализация количества и критичности уязвимостей, их динамики во времени, рейтинг проверок с наибольшим числом срабатываний. Это важно для быстрой оценки защищённости системы для принятия управленческих решений.

Модуль инструментов безопасной разработки (SAST, DAST, PENTEST) расширяет покрытие технологического стека:

• Инструмент SCA (Software Composition Analysis) — анализирует зависимости open source на предмет актуальности, известных уязвимостей и соответствия лицензионным требованиям. Бизнес-выгода заключается в защите от рисков использования устаревших или уязвимых библиотек, соблюдении лицензионной дисциплины, снижении правовых рисков.
• Автоматизация DAST-сканирований — запуск проектов динамического анализа веб-приложений по расписанию.

В этом релизе мы сознательно сосредоточились не на отдельных точечных функциях, а на усилении повседневной работы команд, отвечающих за безопасность и разработку. Большинство изменений в SafeERP 4.9.8 направлены на снижение ручной нагрузки: меньше времени на разбор результатов, меньше неопределённости при работе с ролями, настройками и уязвимостями, больше прозрачности для принятия решений. Команда разработки оптимизировала контроль ролевых моделей, работу с SAP Security Note, управление ложными срабатываниями и отчётность, потому что именно в этих зонах заказчики чаще всего сталкиваются с потерей времени и ростом рисков. В результате система не просто находит проблемы, а помогает быстрее понять их значимость, расставить приоритеты и довести исправления до результата. отметила Римма Кулешова, менеджер продукта SafeERP компании «Газинформсервис»

2025

SafeERP 4.9.7 с возможностью загрузки больших объёмов файлов из локального и сетевого хранилища «1C»

Компания «Газинформсервис» 5 сентября 2025 года представила релиз многофункционального модульного комплекса по защите бизнес-приложений SafeERP — версию 4.9.7.

𝓲

Фото: Газинформсервис

Данная версия SafeERP учитывает запросы пользователей и фокусируется на повышении эффективности и безопасности процессов разработки и эксплуатации. Обновление, ориентированное на пользователей платформы 1С, предлагает значительные доработки, включая усовершенствованное сравнение источников кода, работу с большими объёмами данных и расширенные возможности анализа.

Особое внимание в версии SafeERP 4.9.7 было уделено отделению пользовательского кода от кода поставщика кода в системе контроля GIT. Это изменение позволяет анализировать только тот код, который непосредственно создаётся и изменяется в соответствии со стандартами разработки, обеспечивая постоянный анализ на уязвимости. Такой подход значительно упрощает анализ процесса и повышает его точность, поскольку позволяет избежать излишней нагрузки на систему и команды при больших объёмах кода. В результате обнаружение уязвимостей и их устранение происходит быстрее, что значительно снижает риски безопасности в процессе разработки и эксплуатации. Мы создаём SafeERP, ориентируясь на потребности реальных заказчиков — адаптируя продукт под их бизнес-процессы и особенности. Версия 4.9.7 — прямое этому подтверждение, так как она обновлена с учётом детальной обратной связи и требований пользователей. Мы всегда открыты к диалогу и готовы внедрить новые доработки, чтобы SafeERP был для клиентов надёжным, эффективным и востребованным способом защиты бизнес-приложений, — отметила Римма Кулешова, менеджер продукта SafeERP.

Добавлено сравнение источников типа GIT. В SafeERP 4.9.7 реализована функция сравнения двух источников, один из которых является «эталонным». Функциональность позволяет рассчитывать и сканировать только дельту между двух веток GIT. Это пригодится, например, при отделении кода вендора от пользовательского кода в GIT и сканировании только изменённого кода.

Для удобства работы с большими проектами появились обновления в источниках кода, реализована возможность загрузки больших объёмов файлов из локального и сетевого хранилища 1C. Это существенно сокращает время, затрачиваемое на подготовку данных для анализа.

Если ранее пользовательские проверки были доступны только в рамках статического анализа безопасности (SAST), то в релизе эта функциональность расширена. В версии 4.9.7 добавлено ведение пользовательских проверок в разделе «Анализ платформы», что обеспечивает более глубокий и всесторонний контроль над настройками платформы 1С.

Пользователи SafeERP получили более наглядный инструмент для мониторинга безопасности. Добавлены дашборды для подраздела DAST, которые доступны при просмотре результатов итерации.

В обновлённом модуле SafeERP Security Suite, предназначенном для защиты SAP, реализована интеграция с системой управления задачами Jira и другими популярными системами управления задач. Это позволяет автоматически создавать и контролировать задачи по устранению обнаруженных уязвимостей и инцидентов в безопасности непосредственно из интерфейса SafeERP.

Технически интеграция реализована через API Jira, что обеспечивает двусторонний обмен данными: из SafeERP в Jira передаются сведения об уязвимостях с целью назначать ответственных и контролировать статус задач, а в SafeERP предоставляется информация о прогрессе по их выполнению. Такой подход облегчает процесс устранения уязвимостей и снижает риск пропуска важных этапов.

Мы планируем внедрить аналогичный инструмент с Jira и в модуль по защите 1С, что позволит унифицировать уязвимости процессов управления и повысить эффективность безопасности во всех модулях SafeERP, — добавила Римма Кулешова.

SafeERP 4.9.6 с расширенными возможностями автоматизации

Компания «Газинформсервис» 7 мая 2025 года представила SafeERP 4.9.6, обновленную версию своего модульного комплекса для усиления кибербезопасности информационных систем и бизнес-приложений. Данная версия предлагает расширенные возможности автоматизации, включая автоматическую загрузку и применение обновлений SAP Notes, что значительно упрощает процесс устранения уязвимостей и повышает эффективность работы специалистов по безопасности.

Мы развиваем продукт: SafeERP 4.9.6 становится не только полезным, но и удобным инструментом, а также соответствует всем требованиям в сфере информационной безопасности. Автоматизация рутинных задач, таких как обновление SAP Notes, позволяет нашим заказчикам сосредоточиться на стратегических задачах безопасности, — подчёркнул менеджер продукта SafeERP компании «Газинформсервис», Римма Кулешова.

SafeERP 4.9.6 предлагает ряд значительных улучшений в модулях безопасности, отчетности и анализа кода. Модернизированный Security Suite получил систему пользовательских отчетов для гибкого контроля настроек безопасности и создания индивидуальных отчетов по уязвимостям. Интерфейс модуля «Ландшафт» стал удобнее благодаря расширенным функциям поиска и управления RFC-соединениями.

Система контроля уязвимостей ABAP-кода теперь поддерживает множественный выбор обнаруженных уязвимостей для их групповой обработки, а также получила усовершенствованную систему индикации и теги для более эффективной классификации и анализа. Вкладка «Статус исправление» заменена на более информативную «Историю изменений» с возможностью комментирования. В Code Security Extension Module добавлены новые сценарии проверки Dockerfile для выявления потенциальных угроз, связанных с выполнением shell-скриптов, использованием нестандартных инструкций и доступом к переменным. Для наглядного представления результатов анализа безопасности внедрены интерактивные дашборды.

Кроме того, SafeERP 4.9.6 получил ряд других важных обновлений. Система теперь поддерживает ГОСТ-сертификаты для прокси-серверов и расширяет возможности контроля безопасности кластера 1C благодаря 11 проверкам профилей безопасности. Также улучшена система логирования и добавлен функционал просмотра логов анализа в веб-интерфейсе.

SafeERP 4.9.5 с возможностями комплексного анализа настроек платформы «1С»

Компания «Газинформсервис» представила квартальное обновление SafeERP, релиз 4.9.5 (Q4 2024). Обновлённый Extension Module релиза существенно повысит эффективность и безопасность разработки 1C и защиту платформы 1С (1С:ERP, 1С:Предприятие и др.). Об этом компания сообщила 6 февраля 20255 года.

𝓲

Фото: Газинформсервис

Ключевое изменение — добавление возможности комплексного анализа настроек платформы 1С. Теперь администраторы могут анализировать и контролировать изменения системных настроек 1С, ролей пользователей 1С, конфигураций 1С, а также анализ профилей безопасности 1С-платформы. Это позволит выявлять небезопасные настройки в режиме реального времени для оперативного слежения за состоянием и безопасностью системы. Также произведены доработки функциональности статического анализатора кода 1С для анализа безопасности исходного кода: добавлены сценарии анализа и плагин для среды 1С:ЕDT.

Обновление включает плагин для 1C:EDT, позволяющий разработчикам выявлять и исправлять уязвимости в процессе кодирования — до того, как код попадёт в систему 1С. Это решает проблему позднего обнаружения уязвимостей, которая традиционно приводит к задержкам, дополнительным затратам и риску компрометации системы. К тому же, это дорого обходится компании, потому что вынуждает разработчика отвлекаться от других задач или разработчик может быть уже недоступен, а исправление может потребовать переписывания больших блоков кода с последующим полным регрессионным тестированием.

1С активно развивает среду разработки 1C:EDT (1С:Enterprise Development Tools) как основной инструмент программиста 1С. Разработчики пишут в ней код, проверяют его на ошибки и отправляют на последующую обработку в системы 1С. Наш плагин позволяет разработчикам проверять свой код в процессе разработки. Поэтому обнаруженные недостатки возможно исправить на ранних этапах, что значительно сэкономит время на доработку, если сравнивать с проверками уже переданного кода в систему 1С или систему хранения кода, — отметила Римма Кулешова, менеджер продукта Safe ERP компании «Газинформсервис».

2024

SafeERP 4.9.4

Компания «Газинформсервис» 27 ноября 2024 года представила обновленную версию своего модульного комплекса по защите бизнес-приложений — SafeERP 4.9.4. Релиз 3 квартала 2024 года улучшает защиту данных благодаря ряду изменений, ориентированных на повышение уровня безопасности и удобства использования системы.

𝓲

Фото: Газинформсервис

В данной версии SafeERP 4.9.4 существенно модернизированы ключевые компоненты системы. Так, модуль SafeERP Security Suite (SecSuite) предлагает улучшенную защиту SAP-систем за счёт внедрения передовых механизмов контроля доступа и аудита. Модуль SafeERP Code Security Extension Module (CS EM) получил функцию глубокого анализа кода на уязвимости с поддержкой различных языков программирования, включая 1С. А модуль SafeERP Platform Security Extension Module (PS EM) усиливает защиту платформы 1C и обеспечивает анализ веб-приложений методом динамического анализа кода. Эти и другие улучшения в данной версии SafeERP делают её незаменимым инструментом для тех, кто ценит надёжность и безопасность своих бизнес-данных, — отметила менеджер продукта SafeERP компании «Газинформсервис» Римма Кулешова.

Модуль SafeERP Security Suite (SecSuite) получил усовершенствования, направленные на укрепление безопасности SAP-систем. Так, в релиз добавлены сценарии на анализ кода ABAP и контроль платформы SAP, а также улучшен пользовательский интерфейс раздела «Профили».

SafeERP Code Security Extension Module (CS EM) теперь оснащён инструментом по управлению уязвимостями (инструмент освобождений), что позволяет проще работать с большим количеством найденных уязвимостей в коде различных языков программирования, включая 1С. Также в релизе добавлены 10 сценариев на анализ кода 1С, в том числе на его качество, что позволяет использовать комплекс также разработчикам 1С. Реализована интеграция с CI/CD в GIT: инструмент позволяет запускать проверку кода через пайплайны в автоматизированном режиме и минимизировать количество рутинных задач по созданию безопасного кода.

Модуль SafeERP Platform Security Extension Module (PS EM) получил функциональность — динамический анализатор безопасности (DAST), который проводит оценку безопасности веб-ресурсов и их компонентов. Это важное дополнение позволяет выявлять потенциальные угрозы и принимать соответствующие меры до того, как они станут реальной проблемой. Благодаря интеграции с CI/CD и управлению уязвимостями в модуле CS EM процессы разработки и тестирования стали проще и эффективнее. Компании смогут быстрее реагировать на возникающие проблемы и минимизировать риски. А обновленная парольная политика для пользователей ПК SafeERP PS EM сделала систему ещё более безопасной, снизив вероятность взлома аккаунтов.

SafeERP 4.9.3 (Q2 2024)

Компания «Газинформсервис» выпустила очередной квартальный релиз SafeERP 4.9.3 (Q2 2024) – модульного программного комплекса по защите бизнес-приложений. В обновлении – ряд новых возможностей и улучшений для повышения безопасности.

В модуле SafeERP Security Suite (SecSuite) реализована усиленная защита платформы с добавлением 34 новых стандартных проверок в «Сканере». По словам разработчиков, интерфейс стал удобнее, добавлена вкладка «Проверки», изменился вид «Профилей проверок», что позволяет легко создавать, редактировать и удалять собственные проверки. Расширена защита кода: добавлены фильтры для просмотра уязвимостей, появилась возможность просмотра адреса уязвимости (INCLUDE) и введена вкладка «Сравнение итераций» для отслеживания динамики изменений появления/уменьшения количества уязвимостей (изменение проекта).

В SafeERP Code Security Extension Module (CS EM) реализована улучшенная защита для 1С и других языков программирования, включая возможность создания собственных ролей, расширенные описания проверок. Модуль получил новые проверки для 1С, а также скорректированы проверки для Python/1С.

SafeERP Platform Security Extension Module (PS EM) пополнился также эксплойтами, что расширило защиту от актуальных угроз, в том числе от уязвимостей в Confluence Data Center, Confluence Server, Jenkins CLI и TeamCity.

В релизе 4.9.3 также проведены изменения интерфейса: SecSuite переведен на веб-интерфейс, а SAP FIORI получил ряд обновлений, включая добавление новой транзакции, окна подтверждения и улучшения в «Журнале событий».

CS EM и PS EM успешно прошли проверку на совместимость с Jatoba и готовятся к интеграции в единый интерфейс EMs.

«SafeERP 4.9.3 – это очередной шаг в развитии комплексной системы защиты бизнес-приложений, направленный на обеспечение максимальной безопасности и удобства работы пользователей», – отметила Римма Кулешова, менеджер по продукту SafeERP компании «Газинформсервис».

Совместимость с "Ред ОС" 8

Пользователям Ред ОС 8 стало доступно решение SafeERP CS EM. Разработка компании «Газинформсервис» автоматически анализирует состояние безопасности кода 1С, Python, SQLScript, JavaScript и других языков программирования, обнаруживая и устраняя уязвимости. Об этом Ред Софт сообщил 31 июля 2024 года.

Модуль SafeERP CS EM поможет своевременно выявлять уязвимости в коде используемых программ, а операционная система РЕД ОС 8 станет удобной отечественной платформой для безопасной работы сотрудников.

Мы в компании «Газинформсервис» делаем все, чтобы в условиях внешней нестабильности бизнес-процессы наших заказчиков были под надёжной защитой. Совместимость SafeERP CS EM и РЕД ОС 8 — это результат совместных усилий специалистов компаний «Газинформсервис» и «РЕД СОФТ», который подтверждает нашу приверженность обеспечению безопасности и стабильности для наших клиентов, это один из главных приоритетов, - отметила Менеджер по продукту SafeERP Римма Кулешова.

С каждым годом количество решений, разрабатываемых отечественными ИТ-компаниями, становится больше, а с развитием импортозамещения темпы только ускоряются. Совместимость нашей операционной системы с SafeERP CS EM от «Газинформсервис» — это отличная новость для отечественного рынка технологий. Совместное внедрение РЕД ОС 8 и SafeERP CS EM поможет как закрыть задачи по импортозамещению, так и обеспечить безопасную работу с инфраструктурой организации, — отметил Рустам Рустамов, заместитель генерального директора РЕД СОФТ.

2014

SafeERP получил функционал анализа кастомизированного кода АВАР

Компания «Газинформсервис» представила в декабре 2014 года обновление для программного комплекса SafeERP, предназначенного для защиты систем, построенных на платформе SAP NetWeaver.

Помимо существующих в предыдущих версиях функций контроля целостности и регистрации событий безопасности, ПК SafeERP получил возможность анализировать кастомизированный код SAP-систем на наличие в нем уязвимостей. Применяемый механизм анализа обнаруживает уязвимости на основе статического анализа, в котором поиск уязвимостей строится на использовании библиотеки шаблонов.

Проверки данного модуля позволяют определить источники таких уязвимостей как:

• Критичные вызовы команд ОС.
• Критичные обращения к СУБД.
• Критичные вызовы функций ядра.
• Отсутствие проверок авторизации.
• Программные закладки.

Поиск осуществляется по исходному коду SAP-системы без дополнительной выгрузки кода во внешнее средство анализа, что увеличивает безопасность и повышает скорость проведения тестов. Также возможно встраивание процесса проверки кода в транспортную систему на уровне проверки запросов.

В модуле реализовано детальное описание каждой найденной уязвимости с примерами ее эксплуатации и описанием бизнес рисков.

Новый функционал ПК SafeERP имеет возможность сохранения результатов сканирования, а также их выгрузки в виде PDF-файлов для руководства и XLS-файлов для взаимодействия с разработчиками кода.

Функциональные особенности и преимущества программного комплекса SafeERP:

• Быстрая интеграция. Программный комплекс SafeERP – сертифицированный SAP Add-On, что гарантирует мгновенное развертывание и использование комплекса.
• Уменьшение временных и человеческих затрат на аудит кода.Встроенная база знаний позволяет анализировать код пользователям, не имеющим опыта работы с АВАР, сокращая время на подготовку специалистов для проведения аудита кода.
• Значительное количество проверок. Программный комплекс использует более 100 сценариев для нахождения уязвимостей всех известных типов. База постоянно актуализируется и пополняется новыми проверками.
• Категоризация уязвимостей. Позволяет выделить наиболее критичные уязвимости и определить порядок дальнейшего их устранения. Функционал детальной отчетности позволяет взаимодействовать с разработчиками на их языке.
• Анализ качества разработанного кода. Программный комплекс SafeERP предоставляет механизмы превентивной оценки надежности информационной системы предприятия, еще до принятия разработанного функционала в продуктивную стадию. Применение ПК SafeERP позволяет избежать сбоев в работе, оптимизировать ресурсы предприятия. Реализованная в нем система отчетности предоставляет руководству наглядную оценку безопасности разработанного бизнес-функционала.

Примеры интерфейса модуля анализа кода ABAP:

• ALL OCCURRENCES OF SY-SYSID. Тест проверяет все вхождения системной переменной SY-SYSID. Эта переменная содержит имя системы SAP, где запускается АВАР код. Любой код, выполнение которого зависит от SY-SYSID, может обойти контроль QA (Quality Assurance – система контроля качества (тестовая система)).
• Broken AUTHORITY-CHECKS. Тест определяет использование команды проверки полномочий без последующей проверки на sy(st)-subrc.
• Exposed Kernel Calls. Команда ABAP CALL CFUNK непосредственно вызывает функции ядра. Функции, написанные на С, могут существенно повысить производительность, но не рекомендуется их использование с точки зрения безопасности. Вызов функции ядра непосредственно из пользовательской директории делает уязвимым ядро SAP C для потенциальных атак.

Выход SafeERP

21 января 2014 года стало известно о выходе на рынок комплекса для защиты корпоративных систем SAP компании Газинформсервис.

В режиме реального времени SafeERP осуществляет контроль состояния защищённости SAP-систем, обеспечивая доступ к настройкам безопасности, журналам событий безопасности в системе.

Системы SAP крупных компаний хранят конфиденциальную информацию и обрабатывают критичные для бизнеса данные, что привлекает злоумышленников и конкурентов. Программный комплекс SafeERP автоматизирует процесс управления безопасностью в таких системах и показывает полную картину защищённости систем SAP по всему ИТ-окружению.

Компоненты комплекса

В основе всего комплекса - сервер управления SafeERP и агенты SafeERP, которые устанавливаются в SAP-системы компании. Единая консоль информационной безопасности отображает настройки безопасности всех контролируемых SAP-систем.

Настройка работы комплекса делается на сервере управления, с использованием консоли администратора, где определяются политики безопасности, задаются параметры отбора информации от агентов.

Комплекс используется на системах версии SAP NetWeaver 7.0 и более поздних. Для работы комплекса необходим графический интерфейс (SAP GUI) текущей версии.

Возможности SafeERP

• Позволяет зафиксировать и контролировать безопасное состояние программного кода в системе.
• Предоставляет доступ к информации о настройках безопасности системы SAP посредством унифицированного интерфейса.
• Обеспечивает быстрый просмотр критичных событий безопасности с возможностью их обработки.

Мониторинг безопасного функционирования осуществляется посредством сбора, обработки, защищенного хранения и корреляции событий информационной безопасности, происходящих в контролируемых комплексом SafeERP системах.

SafeERP, в отличие от большинства существующих систем управления инцидентами (Security Information and Event Management - SIEM), при соответствующей настройке помогает контролировать доступ к информации ограниченного использования, обрабатываемой и контролируемой SAP-системой. В дополнение к этому, у SafeERP есть программный интерфейс для интеграции (передачи событий) в другие SIEM-системы.

Функционал

• Контроль целостности программных объектов системы SAP и собственных компонентов за счёт вычисления контрольных сумм.
• Управление политиками безопасности.
• Централизованный сбор и просмотр событий информационной безопасности по категориям.
• Контроль параметров профилей инстанции SAP-системы.
• Централизованный сбор и отображение изменений учетных записей пользователей, ролей и полномочий.
• Регистрация событий управления.
• Создание отчетов о событиях в системе информационной безопасности.
• Быстрый анализ защищенности систем и контроль критичных разработок.