ERP系统是很多大企业的核心系统， 而近年来， 针对ERP系统的漏洞发掘也越来越多。 最近， SAP在其网站上公布了与ERPScan合作的关于SAP的3000个漏洞的分析报告。 报告可以点击本文末尾的链接下载。

ERPScan经过7年的对SAP系统漏洞的深入分析，其中相当大一部分漏洞就是由ERPScan团队发现的。 在ERPScan的报告中， 总结了以下几个特点：

1）        SAP系统漏洞的数量超过人们想象， SAP已经处理的漏洞超过3000个， 大约占所有在Internet上公布漏洞的5%。

2）        外界对于SAP的安全漏洞的兴趣增长迅猛。 由第三方发现的漏洞数量从2000年不到10% 到如今的超过60%。

3）        SAP在系统开发生命周期（SDLC）管理上做得不错。 每个月SAP系统漏洞数量从最高峰的2010年下降了一半。

4）        针对SAP新产品的黑客攻击目标增大。 在SAP的新产品， 如SAP HANA， 尽管只有10个漏洞， 漏洞数量增长速度却远比其他产品快。

5）        其他产品中常见安全漏洞高发不一定是SAP安全常见的漏洞。 比如缓冲区溢出漏洞在SAP的漏洞里的比例不到其他产品的七分之一。

6）        SAP是一个非常复杂的系统， SAP系统的安全很大程度上取决于系统管理员的安全管理能力。 比如配置方面的漏洞在SAP产品漏洞中的比例是其他产品的5倍。

[wpdm_file id=39]