onapsis.com

是什么

Onapsis 是面向 SAP 业务关键应用的网络安全与合规平台，覆盖 ERP、供应链、制造、SAP NetWeaver、S/4HANA、RISE with SAP、BTP 与 SuccessFactors 等场景。其核心定位不是通用漏洞扫描器，而是专门解决 SAP 可视性不足、补丁滞后、零日利用、权限与配置风险、审计压力等问题。

核心能力

在防护类型上，平台包含 Assess 漏洞管理、Defend 实时威胁检测与响应、Control 代码与传输分析、Security Advisor 等能力。正文明确提到可连续扫描 SAP 漏洞、错误配置、危险接口、用户授权，并提供风险优先级和修复指导。威胁侧支持实时监控、IOC、异常 RFC 调用、零日虚拟补丁；开发侧可扫描自定义 ABAP 代码中的硬编码凭据、输入校验缺失等问题。合规方面支持 SOX、GDPR、PCI、FSMA、HACCP、NIS2 等审计和控制自动化。

部署、集成与管理

部署方式未被充分披露，但客户评价提到 console 与 sensors，且页面强调可与现有 SOC、SIEM 集成，并通过 ServiceNow 自动分派修复工单，也可嵌入 Rev-Trac 审批流程和 CCM 平台。管理能力包括仪表盘、报表、资产更新、自动化审计证据、自定义告警与修复跟踪，整体更贴近企业级安全运营。

定价与合规背书

官网正文未公开价格、套餐或授权方式，仅提供免费风险评估、请求演示和专家咨询，基本属于企业询价型采购。合规/认证方面，页面强调其为 Premium Certified SAP Endorsed App，并称是 SAP Endorsed 的网络安全与合规解决方案；但未披露 SOC 2、ISO 27001 等自身安全认证。

优缺点与适合谁

优势是 SAP 安全深度强，研究团队能跟进 CVE-2025-31324、RECON、10KBLAZE 等 SAP 威胁，且客户反馈支持响应、可视化和修复指导较好。短板是价格不透明，部署架构和数据驻留信息不足，且对非 SAP 环境价值有限。它最适合 SAP 是核心系统、面临严格审计和停机风险的大型企业，如制造、金融、政府、医疗、能源、食品饮料和制药行业。

中国访问与替代

正文没有中国大陆访问、人民币付款、本地数据中心或本地支持信息，因此 china_access 只能判定为未知。中国企业若采购，应重点验证网站连通性、合同主体、支付方式、数据跨境、SAP 本地版本适配和中文支持。替代方向可评估 SAP 原生安全/GRC、SIEM/SOAR、漏洞管理、代码扫描工具，以及本地安全厂商提供的 ERP/SAP 安全服务。