Oracle peoplesoft что это
IBM (Rational Unified Process, RUP) Один из наиболее ориентированных на пользователя подходов, RUP (Rational Unified Process) предполагает итеративную разработку, большое внимание к архитектуре, к потенциальным рискам, и главное – к управлению на основе пользовательских «юзкейсов» (use-cases).
«Юзкейсы определяют соглашение между стейкхолдерами системы относительно ее поведения. Юзкейс описывает поведение системы при различных условиях в ответ на запрос со стороны одного из стейкхолдеров» (Коберн).
По сути юзкейсы описывают варианты использования системы и ее действия по достижению поставленных целей. Стейкхолдерами могут быть: заказчики (определяющие конечную цель), менеджеры (ответственные за оперативное управление), аналитики (документирующие требования), разработчики (понимающие реальные потребности заказчика), а также специалисты по тестированию, техническому описанию и разработке интерфейсов пользователя, понимающие поведение системы. Для каждого из них определяются необходимые действия и варианты поведения, но во избежание «тяжеловесности» методологии она предполагает возможность отказаться от определенных работ и задач, в которых нет необходимости для конкретного проекта. Все эти работы и задачи сформированы в рамках четырех основных этапов и сочетания шести основных и трех вспомогательных рабочих процессов.
Важно, что RUP, представляя собой в конечном счете набор решений оптимизации разработки ПО. В частности, компания Rational Software (в 2003-м году ставшая подразделением IBM), описав возможные роли участников проектов, все возможные виды проектных документов для каждого из них, как и формы распределения ответственности, создала программное решение для поддержки всего процесса разработки. И его использование по сути гарантирует достижение третьей стадии зрелости модели CMM, что для многих процессов многих организаций является достаточным уровнем развития. Данный инструмент, IBM Rational Method Composer, позволяет создавать, конфигурировать и публиковать определенные процессы разработки.
И наконец, RUP содержит шесть основных «лучших практик», описанных в RUP и направленных на повышение продуктивности и снижение вероятности появления ошибок (снижение рисков):
Несмотря на рациональность единовременного сбора всех требований и создания на их основе системы, значительным преимуществом итеративной разработки является минимизация стоимости каждой из ее фаз за счет снижения вероятности появления ошибок.
Разбиение масштабных проектов на несколько этапов / областей неизбежно, и важно обеспечивать качество каждого из компонентов перед его интеграцией в итоговую систему. При этом RUP предлагает повторное использование кода через объектно-ориентированное программирование как эффективный элемент компонентного подхода.
Использование диаграмм, в частности, UML, позволяет обеспечить большую прозрачность процесса как для представления бизнес-заказчику по результатам проектирования, так и для обсуждения внутри проектной команды и последующей реализации на стадии настройки / внедрения решения.
Фокус на тестировании, поддерживать который становится все сложнее по мере развития проекта, всегда должен оставаться одним из главных элементов обеспечения качества.
Актуальный в условиях разработки продукта несколькими командами, в особенности географически распределенными, мониторинг сделанных изменений позволяет обеспечить плавную интеграцию и консолидацию отдельных элементов системы. Таким образом, широкий диапазон возможностей и инструментов, предлагаемый методологией, является общей моделью «конструктора», необходимые элементы которого можно выбрать – и таким образом, значительно снизить стоимость / сроки внедрения. Однако крайне важно принимать во внимание, что подобные решения должны приниматься исключительно профессионалами, уже имеющими значительный опыт подобных проектов для манипулирования со степенью формализма разработки и грамотного применения итерационных возможностей.
Microsoft (Microsoft Solution Framework, MSF)
Компанией Microsoft, будучи мировым гигантом в сфере разработки программного обеспечения, подготовлены и применяются несколько методик для покрытия не только ЖЦ информационных систем, но и технологической инфраструктуры, их поддерживающей.
Однако в контексте рассмотрения ЖЦ ПО нас интересует именно методология разработки: как являющийся одним из основных аспект управления и взаимодействия участников процесса, так и другие области знаний (управление рисками, планирование). В целом охватываемые MSF дисциплины описаны в пяти частях (т.н. «белых книгах»), однако интересно, что командами консультантов Microsoft применяется на практике не этот ресурс, а методика MSF for Agile Software Development, являясь прикладным вариантом MSF и разумеется, отражая общий методологический подход к итеративной разработке. Если обратиться непосредственно к процессу разработки / внедрения, то его характеризуют:
Предложения.
Sure Step предоставляет возможность не обязательно проходить все этапы модели методологии, но и выбирать необходимые в соответствии со спецификой бизнеса и задачами проекта, что и отражается в компоненте Предложения.
ПРИМЕР Диагностика, подробный анализ; внедрение (полное либо быстрое); оптимизация.
Методология предоставляет информацию по входным и итоговым документам каждого этапа, а в отношении всего проекта в качестве стандартных конечных результатов она предполагает создание следующих документов:
Отчетные материалы являются прямыми результатами соответствующих процессов этапов.
Как уже было сказано, в зависимости от сценария методология внедрения может меняться и для ее поддержки существует группа постоянных процессов в виде взаимосвязанных операций.
Выделяются те операции, которые относятся к конкретным процессам и охватывают несколько этапов.
А в свою очередь, для охвата всех процессов управления проектами выделены и такие процедуры, как Управление временем и затратами, коммуникациями, качеством, снабжением и прочие стандартные области проектного менеджмента.
Sure Step определяет основные роли специалистов со стороны заказчика внедрения и подрядчиков и охватывает рекомендации для каждой из них.
Сочетание одним специалистом нескольких ролей, в особенности в проектах небольшого масштаба соответствует методологии в полной мере.
Таким образом, MS Dynamics Sure Step представляет собой комплексную методологию внедрения, оптимальную для программных продуктов Dynamics CRM, AX, NAV за счет подробных шаблонов и схем процессов, а также средств редактирования для адаптации методологии к специфике предприятия и отрасли. Методология определяет необходимые шаги каждого этапа внедрения продуктов MS Dynamics как в виде иерархической струк-туры работ, так и в виде графических схем процессов MS Visio.
SAP (Accelerated SAP)
Призванная снижать риски, стоимость и время внедрения программных продуктов, методология ASAP основывается на собственном опыте SAP в области разработки технических решений и бизнес-консалтинга, со значительным фокусом на уже проверенных методиках управления проектами и инфраструктуре PMBoK. Так, пять ключевых этапов маршрутной карты SAP достаточно четко соотносятся с этапами проектного менеджмента PMBoK .
В целом же корпоративная методология Accelerated SAP (ASAP) предлагает комплексный инструментарий, сочетающий технологическую и управленческую части в виде трех основных компонентов:
Таким образом, за счет выстроенной методологии управления проектами внедрения своих программных продуктов, сочетающейся с программным инструментом для ее практического применения в виде Solution Explorer, SAP способствует структурированию большого количества задач, которые необходимо исполнять на каждом этапе. Среди других преимуществ данной методологии, уменьшается время между инсталляцией и запуском системы в продуктив в режиме реального времени, а также создает общую модель управления проектом, которая может впоследствии применяться и для других внедряемых компаний продук-тов / обновлений системы.
Oracle (Oracle Unified Method, OUM)
Oracle Unified Method (OUM) – корпоративная методология поддержки ЖЦ информационных технологий на предприятии, содержащая общее руководство по настройке и типовую структуру работ, а также набор шаблонов, комплекты материалов по конкретным продуктам Oracle и необходимые программные инструменты. Изначально основой методологии Oracle стала модель унифицированного процесса разработки (Unified Process), которая была адаптирована также IBM для формирования собственной корпоративной методологии Rational Unified Process. OUM охватывает три основных аспекта: управление программами и проектами, поддержку ИТ-архитектуры и подход к реализации проектов. Выделяя аналогичные ASAP пять стадий, Oracle изначально предполагает возможность итераций внутри каждой из них (две итерации проектирова-ния, три итерации разработки) с наглядным представлением, на каком именно из 15ти процессов разработки следует фокусироваться в каждый конкретный момент. Вполне резонно методология от Oracle предполагает регулярные активности процессов управления изменениями и документацией, множество раундов тестирования и контроля производительности, отдельное внимание технической архитектуре, обучение (в особенности на начальной стадии и в ходе разработки при подготовки к эксплуатации). А релизы поддерживают также сервис-ориентированную архитектуру, управление учетными записями, идеологию Entreprise 2.0 и другие актуальные проектные технологии, что способствует популярности данного метода разработки ПО среди кор-поративных клиентов.
Oracle / PeopleSoft One Methodology
Разработанная компанией PeopleSoft, вошедшей в состав Oracle данная методология предназначена для описания внедрения ИС американской компании JD Edwards (в свою очередь, тоже поглощенной PeopleSoft). Первоначально разрабатывая финансовое ПО под аппаратное обеспечение IBM, JD Edwards создала методологию, в равной степени применимую к разным категориям систем: управления ресурсами, цепочками поставок, взаимоотношениями с клиентами, интеллектуального анализа данных и сотрудничества в Интернет.
Среди некоторых целей One Methodology – создание единой системы из иерархии целей проекта, его ограничений и планируемых результатов, фор-мирование требований к команде внедрения, определение политики в области рисков. Содержание этапов данной методологии значительно отличается от рассмотренных ранееОднако в результате последовательного поглощения JD Edwards - PeopleSoft - Oracle и значительной направленности JD Edwards на узкую линию программных продуктов, данная методология потеряла свою актуальность и уступила место другим методологиям, в частности, разработанной Oracle AIM в составе Oracle Unified Method.
2. Индустриальные стандарты и методологии
Agile
В переводе с английского Agile означает «гибкий» – именно поэтому такое название получила методология разработки, которая не содержит четких инструкций и «лучших практик», однако представляет собой сборник основных принципов и ценностей в предметной области разработки ПО. К тому же, сам процесс гибкой разработки является адаптивным по отношению к постоянно изменяющимся условиям, что достигается разработкой за короткие итерации, после каждой из которых происходит пересмотр требований и в случае необходимости – изменение практик коммуникаций и работы команды. Тем временем, есть еще несколько не менее важных и требующих рассмотрения идей Agile:
1. Приоритет взаимодействия людей над процессами и традиционными инструментами управления.
2. Приоритет получения работающего продукта над исчерпывающей всеобъемлющей документацией.
3. Приоритет сотрудничества с потребителями (заказчиком) над формальными вопросами контрактов.
4.Приоритет быстрого реагирования на изменения над неотступным следованием плану.
Исходя из этих ценностей, среди команд, использующих Agile-методологию, почти не встречается одинаковых практик документирования или координации, так как «гибкая методология» предполагает самоорганизацию, самостоятельное определение объема, содержания и ограничений каждого элемента управления разработкой. Со времени своего появления в 1990-х Agile-практики получили свое распространение во множестве компаний, в то время как первоначально они позиционировались для управления ИТ-проектами.
В качестве одного из важнейших элементов Agile-подхода к разработке выступают пользовательские истории (user stories). Это описанные одним или несколькими предложениями основные аспекты функциональности системы, необходимые для выполнения пользователем своей работы. В достаточно сжатом виде, они должны отвечать на вопросы: «Кто?», «Что?» и «Почему?» и могут создаваться как менеджером проекта по результатам обследования как один из форматов фиксирования требований, так и разработчиками для выражения нефункциональных требований (например, к безопасности, производительности, качеству решения). В то же время, agile почти не ограничивает команду проекта: так, если необходим больший уровень детализации технического задания / спецификаций / другой документации – можно его написать, если необходимы дополнительные приемочные критерии – можно их составить, если нужны прототипы – можно их сформировать или в виде макетов (мокапов, mockups), или в виде блок-схем, или в виде реальной модели прототипа. Уровень детализации и формализации всегда зависит от специфики системы и проектной команды, от их компетенций и опыта реализации подобных проектов.
SCRUM
В переводе с английского языка «SCRUM» означает «схватка». Впервые подобная методология была введена в употребление профессорами японского Hitotsubashi University в их статье «Новая игра в производстве продукта» («The New Product Development Game»), написанной в 1986 году. В ней разработка продукта была сравнена со схваткой вокруг мяча в регби – приемом, называемым «скрам». Тем не менее, авторами концепции считаются разработчики из США, Кен Швабер и Джефф Сазерленд, впервые определившие и описавшие основополагающие принципы SCRUM – «гибкой» методологии управления проектами (чаще всего применяющейся в области разработки ПО). По своей сути SCRUM представляет собой набор принципов разработки, которые позволяет представлять конечному пользователю (и заказчику) действующий продукт / прототип, обладающий новыми функциями и возможностями с наивысшим приоритетом. Работа в этом случае проводится в четко фиксированные недлительные (в среднем от 1 до 6 недель, чаще от 2 до 4) итерации (спринты). Ожидаемые результаты спринта определяются командой под руководством SCRUM-мастера в самом его начале и не могут изменяться до завершения. К ним под руководством SCRUM-мастера (по сути руководителя проекта) и product-мастера (заказчика, владельца проекта) создается список работ на период спринта и на весь проект (sprint-back-log и product-backlog соответственно). С одной стороны, в силу того, что релизы выпускаются часто, минимизируется вероятность ошибок за счет постоянной обратной связи с потребителями при демонстрации новой функциональности, а также ежедневных (!) встреч команды проекта. С другой стороны, увеличиваются временные (и денежные) затраты на проведение презентаций, а также на исправление выявленных проблем и осуществляемый ретроспективный анализ. Однако при более глубоком рассмотрении SCRUM имеет очень важные основы: методология предполагает циклический и очень активный процесс, минимизирующий неопределенность требований за счет коротких итераций и предоставляя возможность детального прототипирования. Долгие, нестандартные, динамические проекты, при расплывчатом представлении о конечном ожидаемом результате и постоянной смене приоритетов не являются проблемой для SCRUM, и именно поэтому он часто применяется на первых этапах, затем в целях экономии средств / ресурсов переходя к использованию другой методологии. Соответственно, SCRUM может применяться практически любым типом организаций – от стартапов с их высокой неопределенностью до госзаказчиков с частым изменением требований и частой необходимостью демонстрации текущей версии для отчета о результатах.
При принятии решения о переходе на SCRUM необходимо принимать во внимание возможное сопротивление со стороны некоторых специалистов, не привыкших к подобным подходам или предпочитающими индивидуальную работу, так как именно в этой методологии крайне важна сплоченность команды, ее уровень ответственности и кросс-функциональность для ежедневного поиска оптимальных путей совершенствования продукта. Также высока зависимость успеха SCRUM-проектов от мастерства и компетенций SCRUM-мастера, который должен обладать достаточным авторитетом и умением управлять командой для успешной организации выполнения работ и контроля проекта на всех этапах.
Основная особенность методологии экстремального программирования (eXtreme Programming) состоит в ее эффективности в условиях неопределенных или нечетких требований. Популярность данного подхода увеличивалась по мере роста числа разработчиков, недовольных традиционным подходом со множеством формальных требований и постоянно готовивших документацию, собиравшими информацию о показателях проекта. Напротив, новая методология предлагала простой дизайн, переработку (ре-факторинг) кода для контроля затрат, постоянное присутствие заказчика, разработку через тесты и другие аспекты, выгодно отличавшие ее. Обозначим другие ключевые аспекты данной методологии. Для работы в подобных условиях необходима постоянная связь с заказчиком, которая обеспечивается полноценным участием в работе проектной команды квалифицированного, находящегося в курсе проекта представителя заказчика. При разработке в большинстве случаев выбираются наиболее простые методы, исходя из принципа того, что легче в будущем вносить дополнения в базовую версию, чем перестраивать усложненную (хотя, разумеется, бывают исключения, когда изначально учет многих факторов в системе может помочь избежать в дальнейшем многих сложностей). Принцип простоты также важен и в интерфейсном решении, когда более интуитивный пользовательский дизайн интерфейса обладает исключительно необходимыми (но не излишними!) функциями. Однако предварительное детальное проектирование интерфейса согласно исходной версии методологии не осуществляется, он создается лишь по мере работы команды в течение проекта. Коллективная работа по написанию кода / внесению изменений в настройки. Этот принцип относится к двум аспектам. В первую очередь, это «коллективное владение кодом», когда любой участник команды разработчиков может внести изменения благодаря единым правилам оформления когда и использованию стандартов для ПО. С другой стороны, применяется метод «парного программирования», в соответствии с которым двое разработчиков используют один компьютер, чередуя написание кода и доработку настроек, реализацию требований и прочие вопросы.
PeopleSoft, Inc. была компанией, которая предоставила программное обеспечение для систем управления человеческими ресурсами (HRMS), решений финансового управления (FMS), управления цепочкой поставок (SCM), управления взаимоотношениями с клиентами (CRM) и управления производительностью предприятия (EPM), а также программное обеспечение для производства и управления студентами для крупных корпораций , правительств и организаций. Она существовала как независимая корпорация до ее приобретения Oracle Corporation в 2005 году. Название PeopleSoft и линейка продуктов теперь продаются Oracle.
Решения PeopleSoft для управления финансами (FMS) и управления цепочками поставок (SCM) являются частью одного пакета, широко известного как управление финансами и цепочками поставок (FSCM).
PeopleSoft Campus Solutions (CS) - это отдельный пакет, разработанный как информационная система для студентов колледжей и университетов.
СОДЕРЖАНИЕ
История
Компания PeopleSoft, основанная в 1987 году Кеном Моррисом и Дэвидом Даффилдом , изначально располагалась в городе Уолнат-Крик, штат Калифорния , а затем переехала в Плезантон, штат Калифорния . Даффилд представил клиент-серверную версию популярного пакета HRMS для мэйнфреймов Integral Systems . Он стал соучредителем PeopleSoft после ухода из Integral Systems, которая также базировалась в Уолнат-Крик. Его не следует путать с Integral Systems of Columbia, Maryland, другой компанией. Единственная венчурная поддержка компании исходила от IBM. Джордж Дж. Стилл-младший из Norwest Venture Partners вошел в совет директоров.
PeopleSoft версии 1, выпущенный в конце 1989 года, был первым полностью интегрированным и надежным набором клиент-серверных приложений HRMS.
PeopleSoft расширила ассортимент своей продукции, включив в нее финансовый модуль в 1992 году, дистрибуцию в 1994 году и производство в 1996 году после приобретения Red Pepper.
Дизайн продукта
Архитектура приложения
Исходная архитектура PeopleSoft представляет собой набор продуктов, построенных на основе клиент-серверного (двухуровневого) подхода с выделенным клиентом . С выпуском версии 8 весь пакет был переписан как n-уровневый веб- ориентированный дизайн под названием PeopleSoft Internet Architecture (PIA). Новый формат позволил всем из компании «s бизнес - функции , которые будут доступ и запустить из в веб - браузере .
Первоначально на машине с толстым клиентом все еще требовалось выполнить небольшое количество функций безопасности и настройки системы ; однако это уже не так.
Пакет приложений PeopleSoft может функционировать как ERP- система, подобная SAP , но также может использоваться для отдельных модулей, например, для управления студентами или HCM ( управление человеческим капиталом ).
PeopleSoft использует функциональность, известную теперь как Integration Broker, для связи с различными модулями (известными как опоры). Кроме того, Integration Broker можно использовать для вызовов веб-служб между PeopleSoft и другими приложениями.
Платформа разработки
Компоненты
До версии 8.0 PIA компоненты назывались группами панелей.
Джей Ди Эдвардс
В 2003 году PeopleSoft осуществила дружеское слияние с более мелким конкурентом JD Edwards . Аналогичная продуктовая линейка последнего, World и OneWorld , была нацелена на средние компании, которые слишком малы, чтобы получать выгоду от приложений PeopleSoft. В программном обеспечении JD Edwards использовалась архитектура конфигурируемых сетевых вычислений , которая защищала приложения как от операционной системы, так и от серверной части базы данных. PeopleSoft представила продукт OneWorld под торговой маркой PeopleSoft EnterpriseOne .
Приобретение Oracle Corporation
Начиная с 2003 года, Oracle начала маневрировать, чтобы получить контроль над компанией PeopleSoft. В июне 2003 года Oracle сделала ставку на 13 миллиардов долларов в попытке враждебного корпоративного поглощения . В феврале 2004 г. Oracle снизила свою ставку примерно до 9,4 млрд долларов; это предложение также было отклонено советом директоров PeopleSoft . Попытка поглощения Oracle осложнялась отравленной таблеткой PeopleSoft , позволяющей их клиентам потенциально получить возмещение в 2–5 раз больше суммы, которую они заплатили в случае поглощения.
Позже в том же месяце Министерство юстиции США подало иск о блокировке Oracle на том основании, что это приобретение нарушит антимонопольное законодательство. В сентябре 2004 года иск был отклонен федеральным судьей США , который обнаружил, что Министерство юстиции не доказало свое антимонопольное дело. В октябре такое же решение приняла Еврокомиссия . Хотя в мае Oracle снизила свое предложение до 7,7 млрд долларов, в ноябре она снова повысила свою ставку до 9,4 млрд долларов.
В декабре 2004 года Oracle объявила о подписании окончательного соглашения о слиянии с целью приобретения PeopleSoft примерно за 10,3 миллиарда долларов. Через месяц после приобретения PeopleSoft Oracle сократила более половины штата PeopleSoft, уволив 6000 из 11000 сотрудников PeopleSoft.
Oracle решила извлечь выгоду из предполагаемой сильной лояльности к бренду в сообществе пользователей JD Edwards путем ребрендинга бывших продуктов JD Edwards. Таким образом, PeopleSoft EnterpriseOne превратился в JD Edwards EnterpriseOne, а PeopleSoft World превратился в JD Edwards World.
Oracle объявила в 2005 году, что Fusion Applications объединит лучшие аспекты приложений PeopleSoft, JD Edwards и Oracle и объединит их в новый пакет продуктов.
Позднее Oracle замедлит темп выпуска приложений PeopleSoft, вместо этого выпустив «пакеты функций» для добавления функциональности.
Хронология PeopleSoft
- 1987: Дэвид Даффилд и Кен Моррис основали PeopleSoft, Inc. в Уолнат-Крик, Калифорния , США.
- 1988: Выпуск PeopleSoft HRMS.
- 1991: Начинает открывать международные офисы.
- 1994: Публичное распространение модулей «Распределение» и «Финансы».
- 1995: Запуск системы управления студентами.
- 1995: Открыт офис в Мексике, первый в Латинской Америке.
- 1996: Выпуск Manufacturing и PeopleSoft 6, их первого пакета ERP.
- 1997: PeopleSoft 7 выпущен в составе обновленных модулей ERP.
- 1998: Выпуск PeopleSoft 7.5 с улучшенной технологией клиент / сервер. Приобретены системы Intrepid.
- 1998: Выпущена система управления студентами PeopleSoft.
- 1999: Крейг Конвей назначен новым генеральным директором; выпускать продукты для интернет-транзакций.
- 2000: Приобретена Vantive Corporation.
- 2000: поставка PeopleSoft 8 с помощью внутреннего поставщика услуг приложений.
- 2003: Приобретен JD Edwards.
- 2004: Дэйв Даффилд возвращается в качестве генерального директора, заменив Крейга Конвея.
- 2005: Приобретена корпорацией Oracle.
- 2006: Выпущен PeopleSoft FSCM 9.0. (Сентябрь 2006 г.)
- 2006: Выпущен PeopleSoft HCM 9.0. (Декабрь 2006 г.)
- 2009: Выпущен PeopleSoft HCM 9.1. (Октябрь 2009 г.)
- 2009: Выпущен PeopleSoft FSCM 9.1. (Ноябрь 2009 г.)
- 2013: Выпущена PeopleSoft 9.2. (FSCM и HCM выпущены одновременно)
- 2015: Выпущен PeopleSoft Campus Solutions 9.2 (декабрь 2015 г.)
Безопасность
Приложения PeopleSoft, отвечающие сложным бизнес-требованиям, имеют некоторые известные проблемы с точки зрения сетевой безопасности. PeopleSoft использовалась компаниями и государственными организациями из списка Fortune 500, и, как утверждают исследователи, почти 50% из них уязвимы и могут быть взломаны через Интернет.
Фактор риска заключается в существующих уязвимостях систем Oracle PeopleSoft, которые могут привести к утечке данных на предприятиях, в государственных организациях и университетах. Из-за этого компании, использующие приложения PeopleSoft, постоянно находятся под угрозой кибератак.
Согласно исследованию общедоступных приложений Oracle PeopleSoft и их уязвимостей, системы, доступные в Интернете, уязвимы для атаки TokenChpoken. Атака TokenChpoken, которая затрагивает системы, использующие систему единого входа (SSO), возможна, поскольку файл cookie аутентификации (PS_TOKEN), используемый приложениями PeopleSoft, может быть подделан. Когда PS_TOKEN идентифицируется атакой TokenChpoken методом «грубой силы», можно войти в систему под системной учетной записью и получить доступ ко всем данным из скомпрометированной системы.
Все организации, использующие PeopleSoft (включая компании, специализирующиеся на благотворительности, производстве продуктов питания, розничной торговле, транспорте и т. Д.), Остаются уязвимыми для TokenChpoken и других вмешательств, если они не уделяют должного внимания безопасности.
Линейка приложений Oracle PeopleSoft включает решения для управления человеческим капиталом (Oracle PeopleSoft Human Capital Management), для управления финансами (Oracle PeopleSoft Financial Management), взаимодействием с поставщиками (Oracle PeopleSoft Supplier Relationship Management), управления операционными процессами (Oracle PeopleSoft Enterprise Services Automation), цепочками поставок (Oracle PeopleSoft Supply Chain Management), а также средства для разработчиков.
История
2019: Исправление 13 уязвимостей
17 октября 2019 года стало известно, что компания Oracle исправила 219 опасных уязвимостей в разных линейках продуктов. Приложение PeopleSoft получило 13 исправлений. Подробнее здесь.
2015: Продолжаются атаки на приложения Oracle PeopleSoft
3 мая 2015 года компания Digital Security представила результаты исследования безопасности приложений Oracle PeopleSoft, проведенного Алексеем Тюриным, руководителем департамента аудита ИБ.
Согласно выводам эксперта, на 3 июня 2015 года разработчик не уделяет достаточного внимания безопасности приложений. Исследованием выявлен ряд уязвимостей в PeopleSoft, самая опасная из которых допускает атаку класса «повышение привилегий».
Системы PeopleSoft часто доступны из сети Интернет и к некоторым компонентам необходим доступ без регистрации: например, к странице восстановления пароля или к форме подачи резюме на вакансию. Для этого в Oracle PeopleSoft существует специальный пользователь с минимальными правами. При входе система автоматически аутентифицирует вас под этой учетной записью. Это позволяет осуществить атаку класса «повышение привилегий», подобрав аутентификационную cookie – TokenID. TokenID генерируется на основе алгоритма хэширования SHA1, при этом, согласно вновь полученным данным, буквенно-цифровой пароль из 8 знаков расшифровывается за один день на современной видеокарте, которая обойдется злоумышленнику примерно в $500.
В исследовании отмечается - инсталляция Oracle PeopleSoft обычно представляет собой сложную процедуру, когда устанавливаются много приложений, и стоит атакующему получить доступ к слабейшему компоненту, как далее он может с легкостью проникнуть в другие компоненты.
Выбор вектора атаки зависит от целей злоумышленника. Пять последствий атак на Oracle PeopleSoft (среди множества):
- Кража SSN, она же кража личности. Номера социального страхования сотрудников хранятся в системах HRM (управление человеческими ресурсами). Злоумышленник может использовать SSN жертвы, чтобы получить другие персональные данные или взять кредит от ее имени. Зарегистрировать новый номер вместо скомпрометированного непросто: неизвестно, примет ли Управление социального обеспечения решение в пользу потерпевшего. Риску подвержены все компании, использующие PeopleSoft HRMS, особенно государственный сектор.
- Данные платежных карт сотрудников и клиентов (имя держателя, номер карты, дата истечения срока действия, CVV-код) хранятся во многих приложениях Oracle PeopleSoft. При утечке данных эта информация может быть украдена. Жертвой атаки может стать любое предприятие, но прежде всего – сфера розничной торговли.
- С доступом к PeopleSoft Enterprise Service Automation (автоматизация служб предприятия) атакующий может подделать критичную для бизнеса информацию о стадии выполнения проекта и тем самым подтолкнуть руководство к принятию неверных решений, что приведет к растрате ресурсов, невыполнению договорных обязательств и репутационным потерям. Это сценарий саботажа, наиболее актуален для сферы производства.
- Приложение PeopleSoft Supplier Relationship Management (управление взаимоотношениями с поставщиками) хранит информацию о тендерах и договорах. Если атакующий получит доступ к коммерческим предложениям, он может объявить более выгодную цену и выиграть тендер обманным путем. Это чревато репутационными и финансовыми потерями для компании, проводящей тендер.
Исследователь Digital Security обнаружил множество угроз в приложениях Oracle PeopleSoft со стороны всех типов злоумышленников: инсайдеров, разработчиков и даже хакеров из Интернета. По количеству и опасности уязвимостей проблема сопоставима с совокупными последствиями трех наиболее критичных брешей в безопасности, обнаруженных в приложениях SAP за последние пять лет, при этом большинство уязвимостей годами не исправляются.
Алексей Тюрин считает, что положение Oracle PeopleSoft хуже, чем было пять лет назад у SAP. На рынке безопасности SAP сейчас возросла осведомленность (более сотни презентаций на конференциях по ИБ за пять лет), появились специалисты, продукты и реальные примеры атак, включая недавний взлом американской государственной компании USIS. С точки зрения возможных атак ситуация с безопасностью Oracle PeopleSoft в пять раз хуже, судя только по количеству публично подтвержденных инцидентов.
«Тем не менее, опубликованных исследований безопасности приложений PeopleSoft практически нет. В то время как злоумышленники активно эксплуатируют имеющиеся уязвимости, компании не владеют методологией тестирования установленных у них приложений Oracle PeopleSoft на наличие уязвимостей, особенно архитектурных. Oracle регулярно публикует краткую информацию о проблемах безопасности в ее приложениях. Для злоумышленников этих данных может оказаться достаточно, что и подтверждается, как минимум, пятью известными фактами об утечках, получившими огласку. К сожалению, сообщество специалистов по ИБ мало знает об анализе этих систем. Итак, наша миссия – помочь клиентам и компаниям-консультантам правильно оценивать и защищать критичные для бизнеса системы», - отметил Алексей Тюрин, выступая на Hack In The Box (HITB) в Амстердаме, в конце мая 2015 года.
2013: Россияне обнаружили опасные уязвимости в приложениях Oracle PeopleSoft
В конце июля 2013 г. в ходе конференции по ИБ BlackHat в США российская компания Digital Security представила отчет об обнаруженных ей уязвимостях в приложениях Oracle PeopleSoft. По словам представителей компании, найденные уязвимости позволяют третьим лицам получить доступ в систему и завладеть критичными данными о персонале или поставщиках, использующимися в приложениях, вплоть до номеров социального страхования и, возможно, даже данных о держателях карт.
При этом возможна не только кража данных, но и вызов отказа в обслуживании корпоративной системы или подмена критичных данных, включая информацию о банковских счетах, добавляют в Digital Security.
«Сочетание уязвимостей XML, архитектурных проблем и таких особенностей конфигурации, как хранение паролей в открытом виде, позволяло получить полный доступ к системе», - отмечают представители компании.
Информацию об обнаруженных уязвимостях Digital Security передала в Oracle, после чего последняя оперативно выпустила патч, устраняющий эти проблемы безопасности.
Технический директор Digital Security Александр Поляков рассказал TAdviser, что пять лет назад компания очень активно искала искали уязвимости в СУБД Oracle. Тогда он написал книгу «Безопасность Oracle глазами аудитора: нападение и защита» (2009) и провел множество презентаций.
«Сейчас продукт PeopleSoft был выбран потому, что он активно развивается и используется по всему миру, производитель делает на него большие ставки даже при наличии Fusion, - говорит он. - Кроме того, в прошлом году на BlackHat нас спрашивали про этот продукт, мы и решили им заняться. В США у этого продукта большой рынок».
В Digital Security также отмечают, что исследование Oracle PeopleSoft, в ходе которого были обнаружены уязвимости, не ставило задачей найти все существующие проблемы. Его целью был обзор безопасности этого ПО в целом с указанием его основных недостатков.
Корпорация Oracle выпустила в апреле 2011 года пакет обновления программного обеспечения PeopleSoft, чтобы преодолеть разрыв функциональности разных ERP-решений от Oracle. Пакет управление финансами и цепочками поставок (Financials and Supply Chain Management - FSCM) добавляет новые функциональные возможности SCM для пользователей PeopleSoft 9.1. Как сообщает Oracle, около 1200 клиентов уже перешли на новую 9,1 версию. В дополнение к обновленной функциональности автоматизации финансовых операций, клиенты будут иметь доступ к новым функциям управления цепочками поставок с возможностью таргетинга, управления инвентаризацией и поиска.
Особенностью нового функционала FSCM также является новое приложение People Soft Mobile Inventory Management(Мобильное управление запасами). Через это новое приложение персоналу, использующим Windows на своих мобильных устройствах и портативных компьютерах, можно автоматизировать различные операции инвентаризации. Это улучшит точность и оперативность инвентаризации, что в конечном итоге повыcит производительность труда. Новые возможности также помогут работникам управлять сопроводительными документами, котировками и владеть необходимой для этого информации. Пакет обновлений дает пользователям больше контроля и безопасности.
Выпуск пакета PeopleSoft Enterprise Performance Management 9 еще раз подтвердил приверженность компании Oracle принципам программы и укрепил позиции Oracle на рынке инструментов бизнес-аналитики.
Пакет PeopleSoft Enterprise Performance Management представляет собой интегрированный набор аналитических приложений, которые помогают организациям добиться мирового уровня эффективности своей работы, сопоставляя необходимую информацию и ресурсы со своими стратегическими целями.
Следуя стратегии компании Oracle по созданию отраслевых решений, пакет PeopleSoft Enterprise Performance Management 9 предлагает обширный набор готовых материалов, отчетов и аналитических функций для индустрии средне-специального и высшего образования. Так, в состав пакета включен новый модуль Campus Solutions Warehouse и соответствующие витрины данных.
Модуль PeopleSoft Campus Solutions Warehouse собирает все связанные с учебным процессом сведения в единую среду и сопоставляет их с глубоким анализом данных о нанимателях, поступлении студентов, успеваемости и плате за обучение. Имея в своем распоряжении такие данные, руководство учебных заведений может принимать стратегические решения для более успешного устройства выпускников на работу, повышения привлекательности своих программ, а также может определять наиболее успешные и неуспешные программы, анализировать нагрузку преподавателей и жестче контролировать заработную плату и премии преподавателей.
Кроме того, пакет PeopleSoft Enterprise Performance Management 9 содержит улучшения в области планирования, бюджетирования и прогнозирования. Это особенно важно для тех многочисленных организаций, где выплата заработной платы является самой крупной областью затрат. Чтобы удовлетворить потребности крупных организаций, которым нужно тщательно планировать оплату труда своих сотрудников в разных подразделениях, регионах и странах, модуль PeopleSoft Planning and Budgeting теперь интегрируется с модулем расчета заработной платы PeopleSoft Workforce Rewards и модулем управления кадровыми ресурсами PeopleSoft Human Capital Management. Теперь можно моделировать и оценивать различные сценарии изменения схемы расчета оплаты труда, в том числе проводить анализ с учетом всех внутренних и внешних требований.
Для отраслей с интенсивными капиталовложениями и тех отраслей, где отправной точкой в процессе бюджетирования является балансовая ведомость, предлагаются новые средства планирования баланса с удобными средствами моделирования прямых и косвенных финансовых потоков.
Пакет PeopleSoft Enterprise Performance Management 9 дает заказчикам полную прозрачность процесса закрытия отчетного периода и расширенные возможности по соблюдению стандартов защиты и раскрытия информации для совершенствования процессов финансового контроля и подготовки отчетности.
Кроме всего прочего, пакет PeopleSoft Enterprise Performance Management 9 обеспечивает более глубокую интеграцию между модулями PeopleSoft Global Consolidations и PeopleSoft Internal Controls Enforcer. Новые диагностические инструменты для определения и разделения обязанностей и прав доступа в модуле Global Consolidations 9 помогают организовать контроль операций финансового контроля и подготовки отчетности на всех уровнях организационной структуры.
Читайте также: