这是一个黄蜂巢...

我还报告了安全性SAP注释，然后被服务提供商发现有关详细信息的错误。

SAP现在仅在研究人员同意的情况下才提供对笔记的认可，并且不提供笔记编号。

客户可以访问注释和SAP工具来查找它们。

评估它们是一个过程...但是，如果您无权访问SAP Notes，那么您将无法对其进行深入了解。 不仅因为您没有访问权限，而且因为您之前从未访问过，所以您对问题一无所知，只能在不增加任何价值的情况下对信息进行重新定位。 最糟糕的情况是，您会在非SAP安全库中产生恐慌和压力，而重要的业务系统会受到未经测试的更改的影响。

这些事情最好留给SAP安全团队使用，只要它们在技术上也适合管理它即可。 当然，您不能像将其交给一般的安全服务提供商一样，将其交给GRC顾问...因为SAP过于专有，并且更正之处离应用程序太近。

此外，正如我之前考虑的那样，向客户提供有关SAP Security Notes的服务的市场很小。 他们认为错误修复已包含在许可证的SAP维护费中，而信息服务也包含在其中。 他们不愿意为此付出代价。

一些网络安全部门可能愿意花一段时间，直到他们意识到它是免费的并且他们得到的是反驳的，而不是真正的专家信息。

因此，我怀疑接下来您将要为每个音符询问专家信息吗？？

然后您会问为什么客户不想每月升级并应用所有支持包...？

关于SAP世界如何工作的一些信息...;-）

干杯

朱利叶斯