Привет всем,
кто-нибудь встречал такой софт Virtual Forge CodeProfiler?
Типо плагина к IBM AppScan для проверки ABAP кода на предмет уязвимостей и костылей нехороших.
Стоит дюже дорого, но стоит ли он того, хотелось бы глянуть.

А чем стандартный Code Inspector не угодил?
upd: насколько я понял, Virtual Forge CodeProfiler проверяет наличие authority-check, наличие динамически формируемого кода, select без условий, наличие OPEN DATASET и т.п.
Это скорее инструмент для аудита разработок SAP-системы, а не для регулярного применения.
По опыту работы:
-Code Inspector позволяет обнаружить проблемы с кодом (select, вызовы ФМ, работа с внутренними таблицами)
-проверка ключевых слов в коде (authority-check, open dataset и т.п.) осуществляется с помощью программы RSABAPSC (причем с различной глубиной анализа).
-проверка производительности - ST05, SAT/SE30

Для чего тогда нужен этот инструмент?

Ага, как раз с целью контроля разработок оно и надо, а как правило разработками (большими) занимается не внутренняя команда, а аутсорс или консалт поэтому и нужно нечто такое.
Просто на коленке довольно сложно собрать все критерии угрожающие безопастности сап системы, поэтому надо, считаю, начинать
с опыта накопленного годами человечеством

Code Inspector всем хорош, но для абапера, для ибэшника (Информационная Безопастность) он, например, не предлагает решений по устранению недостатков

Пару лет назад тут вроде бегал модуль или программа по аудиту системы у которой не включен аудит, вот не могу его найти.

А чтобы вам интересно было знать о своей системе с разработками аутсорса?

Джентельменский набор,
хардкод, использование хинтов, в том числе на БД, возможные бэкдоры, кривая или отсутствие авторизации на критичные объекты.
В общем если сидеть и год думать, можно много чего напридумывать, но предпочитаю отталкиваться от чего-то. нежели изобретать велосипед.