ERP系統(tǒng)是很多大企業(yè)的核心系統(tǒng)， 而近年來， 針對(duì)ERP系統(tǒng)的發(fā)掘的漏洞也越來越多。 最近， SAP在其網(wǎng)站上公布了與ERPScan合作的關(guān)于SAP的3000個(gè)漏洞的分析報(bào)告。

在ERPScan的報(bào)告中， 總結(jié)了以下幾個(gè)特點(diǎn)：

1. SAP系統(tǒng)漏洞的數(shù)量超過人們想象， SAP已經(jīng)處理的漏洞超過3000個(gè)， 大約占所有在Internet上公布漏洞的5%。

2.外界對(duì)于SAP的安全漏洞的興趣增長迅猛。 由第三方發(fā)現(xiàn)的漏洞數(shù)量從2000年不到10% 到如今的超過60%。

3.SAP在系統(tǒng)開發(fā)生命周期（SDLC）管理上做得不錯(cuò)。 每個(gè)月SAP系統(tǒng)漏洞數(shù)量從最高峰的2010年下降了一半。

4. 針對(duì)SAP新產(chǎn)品的黑客攻擊目標(biāo)增大。 在SAP的新產(chǎn)品， 如SAP HANA， 盡管只有10個(gè)漏洞， 漏洞數(shù)量增長速度卻遠(yuǎn)比其他產(chǎn)品快。

5. 其他產(chǎn)品中常見安全漏洞高發(fā)不一定是SAP安全常見的漏洞。 比如緩沖區(qū)溢出漏洞在SAP的漏洞里的比例不到其他產(chǎn)品的七分之一。

6. SAP是一個(gè)非常復(fù)雜的系統(tǒng)， SAP系統(tǒng)的安全很大程度上取決于系統(tǒng)管理員的安全管理能力。 比如配置方面的漏洞在SAP產(chǎn)品漏洞中的比例是其他產(chǎn)品的5倍。

ERP漏洞本身并不可怕，可怕的是企業(yè)運(yùn)用ERP系統(tǒng)所產(chǎn)生的數(shù)據(jù)發(fā)生泄露。因此，企業(yè)在做好相關(guān)軟件漏洞修補(bǔ)的同時(shí)，應(yīng)當(dāng)提高數(shù)據(jù)防泄露的意識(shí)，引入信息化數(shù)據(jù)防泄露系統(tǒng)防止數(shù)據(jù)泄露對(duì)企業(yè)造成重大損失。數(shù)據(jù)防護(hù)，泄露前防護(hù)勝于泄露后彌補(bǔ)！

報(bào)告下載，請(qǐng)點(diǎn)擊ERPScan發(fā)布SAP的3000個(gè)漏洞分析報(bào)告。此報(bào)告為英文版。