Description
SAP DevSec Scanner analyse automatiquement vos projets SAP BTP pour détecter les vulnérabilités de sécurité courantes. Il prend en charge les projets SAPUI5/Fiori et CAP (Cloud Application Programming).
Le scanner accepte :
– un fichier ZIP de projet uploadé depuis le navigateur,
– un chemin de répertoire sur le serveur (accès direct au filesystem).
Fonctionnalités
| Fonctionnalité | Description |
|---|---|
| UI5 Version Scanner | Détecte les versions SAPUI5 obsolètes ou EOL (End of Life) |
| UI5 Code Scanner | Détection XSS, eval(), innerHTML, open redirect, OWASP Top 10 |
| NPM Security Scanner | Audit des dépendances npm, détection de CVE connus, bonnes pratiques |
| CAP Security Scanner | Contrôle d’accès CDS, injection SQL, sécurité des services et handlers |
| Secrets Scanner | Credentials en clair, tokens JWT, clés API, secrets dans CI/CD |
| BTP Destinations Scanner | Analyse des configurations XSUAA, destinations BTP et mta.yaml |
| AppRouter Security Scanner | xs-app.json, headers HTTP, CSRF, scopes, version @sap/approuter |
| Score de risque | Score 0-100 pondéré par sévérité (CRITICAL / HIGH / MEDIUM / LOW) |
| Historique des scans | Conservation en mémoire des rapports de session |
