Blog
07. Červenec 2025

Best Practices pro bezpečnost při integraci APEXu s Oracle EBS (E-Business Suite)

V tomto čtvrtém pokračování se zaměříme výhradně na oblast bezpečnosti – od řízení přístupů přes ochranu dat až po správné nastavení aplikační architektury.

V dosavadní sérii článků jsme se podívali na různé aspekty propojení Oracle APEX a Oracle E-Business Suite. V textu „Jak Oracle APEX rozšiřuje funkčnost Oracle EBS?“ jsme si ukázali konkrétní příklady využití APEXu v prostředí EBS. Následně jsme v článku „Klíčové výhody rozšíření Oracle EBS pomocí Oracle APEX“ shrnuli hlavní přínosy této integrace. Ve třetím díle „Klíčové principy pro bezpečnou a efektivní integraci“ jsme se pak věnovali technickým a architektonickým zásadám, které pomáhají postavit stabilní a udržitelné řešení.

Bezpečnost je totiž klíčovým prvkem každé integrace, zvláště pokud pracujeme s citlivými daty v ERP systému.

  • Princip nejmenších privilegií: Udělujte uživatelům APEXu (včetně APEX_PUBLIC_USER) a vlastním schématům jen minimální potřebná oprávnění. Vytvářejte specifické databázové role. Omezte privilegia z role PUBLIC.
  • Validace a sanitizace vstupů: Vždy ověřujte a čistěte uživatelské vstupy. Používejte vestavěné APEX validace, regulární výrazy a v PL/SQL balíček DBMS_ASSERT pro bezpečné použití dynamického SQL. Vynucujte integritu dat pomocí databázových omezení (CHECK constraints).
  • Ochrana proti SQL Injection: Vždy používejte bind proměnné (např. :ITEM_NAME) namísto konkatenovaných SQL řetězců. Omezte použití dynamického SQL na minimum a v případě nutnosti pečlivě validujte vstupy. Zapouzdřujte databázové operace do uložených procedur. Povolte ochranu stavu relace (Session State Protection). Vzdělávejte vývojáře o rizicích SQL Injection.
  • Mírnění Cross-Site Scripting (XSS): Povolte automatické escapování speciálních znaků v reportech a formulářích. V PL/SQL použijte funkce jako HTF.ESCAPE_SC nebo APEX_ESCAPE.HTML. Implementujte hlavičky Content-Security-Policy (CSP). Vyhněte se inline skriptům a stylům a validujte nahrávané soubory.
  • Bezpečná správa relací: Konfigurujte časové limity relací (Maximum Session Length, Maximum Session Idle Time). Zajistěte, aby session cookies měly atributy Secure a HttpOnly. Poskytněte jasný mechanismus odhlášení (APEX_UTIL.LOGOUT).
  • Udržujte systém aktuální: Pravidelně monitorujte bezpečnostní upozornění Oracle (Critical Patch Updates - CPU) a aplikujte patche a aktualizace pro APEX, databázi, ORDS a webové servery. Dokumentujte postupy aktualizace.
  • Audit a monitorování aktivity: Povolte standardní auditování (AUDIT příkaz) a jemně zrnitý audit (FGA) pro citlivé operace. Monitorujte APEX-specifické logy (APEX_WORKSPACE_ACTIVITY_LOG) a nastavte upozornění na neobvyklé aktivity.
  • Bezpečná konfigurace a nasazení: Deaktivujte nepotřebné funkce. Konfigurujte vlastní zpracování chyb, aby se zabránilo zobrazení citlivých informací. Zabezpečte adresáře pro nahrávání souborů a nastavte správná oprávnění.
  • Vzdělávání vývojových týmů: Provádějte pravidelná školení o bezpečném kódování a funkcích APEXu. Vytvářejte bezpečnostní směrnice a kontrolní seznamy. Podporujte kulturu bezpečnosti.

Každá implementace je ale jiná – a právě v těchto rozdílech se často skrývají výzvy i příležitosti. Pokud zvažujete integraci APEXu do vašeho prostředí Oracle EBS, rádi s vámi projdeme vaše konkrétní scénáře, doporučíme vhodný postup a pomůžeme s návrhem i realizací řešení.

Ozvěte se nám – rádi s vámi nezávazně probereme, co by APEX mohl přinést právě vaší organizaci.

Stačí vyplnit krátký kontaktní formulář nebo nám napsat na info@apexsolutions.cz.