1~
2Kod yazarken bulunan bir güvenlik açığını düzeltmek geliştiriciye dakikalar alır. Aynı güvenlik açığı production'da yakalanırsa bir sprint'e mal olur. Ve bir saldırgan önce bulursa, maliyeti milyonlarca olur. **Shift-left security**'nin temel argümanı budur  -  güvenlik kontrollerini geliştirme yaşam döngüsünde mümkün olduğunca erken aşamaya taşımak.
3~
4DevSecOps bu fikri bir uygulamaya dönüştürür: güvenlik, sonunda ayrı bir aşama değil, kodun ilk satırından production dağıtımına kadar geliştirmenin her aşamasına örülmüş sürekli bir süreçtir.
5~
6## Geç Güvenliğin Maliyeti
7~
8IBM'in Veri İhlali Maliyeti Raporu, güvenlik sorunlarını düzeltme maliyetinin ne kadar geç yakalanırsa o kadar katlanarak arttığını sürekli olarak göstermiştir:
9~
10| Aşama | Düzeltme Maliyeti | Düzeltme Süresi |
11|-------|------------|-------------|
12| **IDE / Local Dev** | Dakikalar | Saniyeler - dakikalar |
13| **Code Review / PR** | Saatler | Dakikalar - saatler |
14| **CI/CD Pipeline** | Günler | Saatler - günler |
15| **Staging / QA** | Haftalar | Günler |
16| **Production** | Aylar | Haftalar - aylar |
17| **Post-breach** | Milyonlar ($) | Aylar - yıllar |
18~
19Sonuç açıktır: güvenliği ne kadar erken aşamaya taşırsanız, maliyet ve zamandan o kadar fazla tasarruf edersiniz.
20~
21## DevSecOps Pipeline
22~
23Olgun bir DevSecOps pipeline her aşamada güvenlik kontrollerini entegre eder:
24~
25```mermaid
26graph LR
27    IDE[IDE / Editor] --> PC[Pre-commit Hooks]
28    PC --> PR[Pull Request]
29    PR --> CI[CI Pipeline]
30    CI --> Build[Build / Package]
31    Build --> Deploy[Deploy]
32    Deploy --> Runtime[Runtime / Production]
33~
34    IDE -.- S1[SAST\nSecret Detection\nLinting]
35    PC -.- S2[Secrets Scan\nFormat Check]
36    PR -.- S3[Code Review\nDependency Audit]
37    CI -.- S4[SAST\nSCA\nContainer Scan\nSBOM]
38    Build -.- S5[Image Signing\nArtifact Verification]
39    Deploy -.- S6[Policy Enforcement\nAdmission Control]
40    Runtime -.- S7[DAST\nWAF\nMonitoring]
41```
42~
43Her aşamayı somut araçlar ve yapılandırmalarla inceleyelim.
44~
45## Aşama 1: IDE'de Güvenlik
46~
47En hızlı geri bildirim döngüsü. Dosyayı kaydetmeden önce güvenlik açıklarını yakalayın.
48~
49### Önerilen Araçlar
50~
51- **Semgrep**: OWASP güvenlik açıkları için topluluk kurallarıyla hafif statik analiz
52- **Snyk IDE Extension**: gerçek zamanlı bağımlılık güvenlik açığı taraması
53- **GitLens + GitLeaks**: düzenleyicinizde secrets tespit edin
54- **ESLint Security Plugins**: Node.js için `eslint-plugin-security`, DOM XSS için `eslint-plugin-no-unsanitized`
55~
56### Örnek: ESLint Security Yapılandırması
57~
58```json
59{
60  "extends": ["eslint:recommended"],
61  "plugins": ["security", "no-unsanitized"],
62  "rules": {
63    "security/detect-object-injection": "warn",
64    "security/detect-non-literal-regexp": "warn",
65    "security/detect-unsafe-regex": "error",
66    "security/detect-buffer-noassert": "error",
67    "security/detect-eval-with-expression": "error",
68    "security/detect-no-csrf-before-method-override": "error",
69    "security/detect-possible-timing-attacks": "warn",
70    "no-unsanitized/method": "error",
71    "no-unsanitized/property": "error"
72  }
73}
74```
75~
76## Aşama 2: Pre-commit Hooks
77~
78İkinci savunma hattı. Her commit'ten önce otomatik olarak çalışır ve tehlikeli kodun depoya girmesini engeller.
79~
80### Gitleaks: Secrets'ı Git'e Ulaşmadan Yakalayın
81~
82Kod tabanlarındaki en yaygın güvenlik hatası secrets commit etmektir  -  API keys, database passwords, tokens. Bir secret git history'ye girdiğinde, tamamen kaldırmak son derece zordur (force push'lardan sonra bile, fork'lar ve cache'ler onu tutabilir).
83~
84```yaml
85# .pre-commit-config.yaml
86repos:
87  - repo: https://github.com/gitleaks/gitleaks
88    rev: v8.21.0
89    hooks:
90      - id: gitleaks
91~
92  - repo: https://github.com/semgrep/semgrep
93    rev: v1.90.0
94    hooks:
95      - id: semgrep
96        args: ['--config', 'auto']
97```
98~
99Kurulum ve aktivasyon:
100~
101```bash
102pip install pre-commit
103pre-commit install
104```
105~
106Artık her `git commit` otomatik olarak sızan secrets ve yaygın güvenlik açıkları için tarama yapar. Bir şey bulunursa, commit engellenir.
107~
108### Özel Gitleaks Kuralları
109~
110Kuruluşunuzun secrets'ları için özel kalıplar ekleyebilirsiniz:
111~
112```toml
113# .gitleaks.toml
114title = "Custom Gitleaks Config"
115~
116[[rules]]
117id = "internal-api-key"
118description = "Internal API key detected"
119regex = '''INTERNAL_KEY_[A-Za-z0-9]{32}'''
120tags = ["key", "internal"]
121```
122~
123## Aşama 3: CI/CD Pipeline Güvenliği
124~
125Ağır işin yapıldığı yer burasıdır. CI pipeline'ınız her pull request'te birden fazla güvenlik taraması çalıştırmalıdır.
126~
127### SAST (Static Application Security Testing)
128~
129SAST araçları kaynak kodu çalıştırmadan analiz eder ve güvenlik açığına işaret eden kalıpları arar.
130~
131```yaml
132# .github/workflows/security.yml
133name: Security Scan
134on:
135  pull_request:
136    branches: [main]
137~
138jobs:
139  sast:
140    name: Static Analysis
141    runs-on: ubuntu-latest
142    steps:
143      - uses: actions/checkout@v4
144~
145      - name: Run Semgrep
146        uses: semgrep/semgrep-action@v1
147        with:
148          config: >-
149            p/owasp-top-ten
150            p/typescript
151            p/nodejs
152            p/react
153          generateSarif: true
154~
155      - name: Upload SARIF
156        uses: github/codeql-action/upload-sarif@v3
157        with:
158          sarif_file: semgrep.sarif
159```
160~
161Semgrep'in `p/owasp-top-ten` kural seti en yaygın güvenlik açıklarını yakalar: SQL injection, XSS, SSRF, path traversal, insecure deserialization ve daha fazlası.
162~
163### SCA (Software Composition Analysis)
164~
165SCA, bağımlılıklarınızı bilinen güvenlik açıkları için tarar. Bu kritik öneme sahiptir  -  modern uygulama kodunun %80'inden fazlası open-source bağımlılıklardan gelir.
166~
167```yaml
168  dependency-scan:
169    name: Dependency Audit
170    runs-on: ubuntu-latest
171    steps:
172      - uses: actions/checkout@v4
173~
174      - name: Run Snyk
175        uses: snyk/actions/node@master
176        env:
177          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
178        with:
179          args: --severity-threshold=high
180~
181      - name: npm audit
182        run: npm audit --audit-level=high
183```
184~
185### Trivy ile Container Security
186~
187Docker images oluşturuyorsanız, bunları güvenlik açıkları için taramak şarttır. **Trivy** en popüler open-source container scanner'dır.
188~
189```yaml
190  container-scan:
191    name: Container Security
192    runs-on: ubuntu-latest
193    steps:
194      - uses: actions/checkout@v4
195~
196      - name: Build image
197        run: docker build -t my-app:${{ github.sha }} .
198~
199      - name: Run Trivy
200        uses: aquasecurity/trivy-action@master
201        with:
202          image-ref: my-app:${{ github.sha }}
203          format: 'sarif'
204          output: 'trivy-results.sarif'
205          severity: 'CRITICAL,HIGH'
206          exit-code: '1'
207~
208      - name: Upload Trivy SARIF
209        uses: github/codeql-action/upload-sarif@v3
210        with:
211          sarif_file: trivy-results.sarif
212```
213~
214### SBOM Oluşturma
215~
216**Software Bill of Materials (SBOM)** uygulamanızdaki her bileşenin tam envanteridır. Uyumluluk çerçeveleri ve devlet düzenlemeleri tarafından giderek daha fazla gerekli kılınmaktadır (ABD Siber Güvenlik Başkanlık Kararnamesi federal yazılım için SBOM'u zorunlu kılmaktadır).
217~
218```yaml
219  sbom:
220    name: Generate SBOM
221    runs-on: ubuntu-latest
222    steps:
223      - uses: actions/checkout@v4
224~
225      - name: Generate SBOM with Syft
226        uses: anchore/sbom-action@v0
227        with:
228          format: spdx-json
229          output-file: sbom.spdx.json
230~
231      - name: Upload SBOM
232        uses: actions/upload-artifact@v4
233        with:
234          name: sbom
235          path: sbom.spdx.json
236```
237~
238## Aşama 4: Güvenli Docker Images
239~
240Production Docker image'ı en az yetki ilkesini izlemelidir. Güçlendirilmiş bir Dockerfile şöyle görünür:
241~
242```dockerfile
243# Build stage
244FROM node:22-alpine AS builder
245WORKDIR /app
246COPY package.json package-lock.json ./
247RUN npm ci
248COPY . .
249RUN npm run build
250~
251# Production stage
252FROM node:22-alpine AS runner
253WORKDIR /app
254~
255# Install dumb-init before dropping root
256RUN apk add --no-cache dumb-init
257~
258# Don't run as root
259RUN addgroup -S app && adduser -S app -G app
260~
261# Copy only what's needed
262COPY --from=builder --chown=app:app /app/dist ./dist
263COPY --from=builder --chown=app:app /app/node_modules ./node_modules
264COPY --from=builder --chown=app:app /app/package.json ./
265~
266# Drop to non-root user
267USER app
268ENTRYPOINT ["dumb-init", "--"]
269~
270# Health check
271HEALTHCHECK --interval=30s --timeout=3s --retries=3 \
272  CMD wget -qO- http://localhost:3000/health || exit 1
273~
274EXPOSE 3000
275CMD ["node", "dist/server.js"]
276```
277~
278Temel uygulamalar:
279~
2801. **Multi-stage builds kullanın**: builder aşaması dev dependencies içerir; runner aşaması sadece production kodu içerir
2812. **Root olarak çalıştırmayın**: root olmayan bir kullanıcı oluşturun ve ona geçin
2823. **Alpine images kullanın**: daha küçük saldırı yüzeyi (varsayılan olarak daha az paket yüklü)
2834. **Image sürümlerini sabitleyin**: supply chain saldırılarından kaçınmak için `node:latest` yerine `node:22-alpine`
2845. **`npm ci` kullanın**: lock dosyasından deterministik kurulumlar, `npm install` değil
285~
286## Aşama 5: Secret Management
287~
288Hard-coded secrets, geliştirici kaynaklı olaylarda ihlallerin bir numaralı nedenidir.
289~
290### Yapılmaması Gereken
291~
292```typescript
293// NEVER do this
294const API_KEY = "sk-1234567890abcdef";
295const DB_PASSWORD = "supersecret123";
296~
297const client = new Client({
298  connectionString: `postgres://admin:${DB_PASSWORD}@db.example.com/prod`
299});
300```
301~
302### Bunun Yerine Yapılması Gereken
303~
304```typescript
305// Use environment variables
306const client = new Client({
307  connectionString: process.env.DATABASE_URL
308});
309~
310// Or use a secret manager
311import { SecretManagerServiceClient } from '@google-cloud/secret-manager';
312~
313const client = new SecretManagerServiceClient();
314const [version] = await client.accessSecretVersion({
315  name: 'projects/my-project/secrets/db-password/versions/latest',
316});
317const dbPassword = version.payload?.data?.toString();
318```
319~
320### Secret Management Hiyerarşisi
321~
322```mermaid
323graph TD
324    A[Secret Manager\nAWS Secrets Manager\nGCP Secret Manager\nHashiCorp Vault] --> B[Best: Rotated, audited, centralized]
325    C[Environment Variables\nInjected at deploy time] --> D[Good: Not in code, but static]
326    E[.env files\nWith .gitignore] --> F[Acceptable: Local development only]
327    G[Hard-coded in source] --> H[NEVER: Instant breach risk]
328~
329    style A fill:#d4edda
330    style C fill:#fff3cd
331    style E fill:#ffeeba
332    style G fill:#f8d7da
333```
334~
335## OWASP Top 10: Hızlı Başvuru
336~
337Her geliştiricinin OWASP Top 10'u bilmesi gerekir. Özet versiyon:
338~
339| # | Güvenlik Açığı | Ne Olduğu | Önleme |
340|---|--------------|-----------|------------|
341| 1 | **Broken Access Control** | Kullanıcıların erişmemesi gereken kaynaklara erişmesi | Varsayılan olarak reddet, sunucu tarafında doğrula |
342| 2 | **Cryptographic Failures** | Zayıf şifreleme, düz metin veriler | Güçlü algoritmalar kullan (AES-256, bcrypt), her yerde TLS |
343| 3 | **Injection** | SQL, NoSQL, OS command injection | Parameterized queries, girdi doğrulama |
344| 4 | **Insecure Design** | Kusurlu mimari | Threat modeling, güvenli tasarım kalıpları |
345| 5 | **Security Misconfiguration** | Varsayılan kimlik bilgileri, açık cloud buckets | Güçlendirilmiş varsayılanlar, otomatik yapılandırma denetimleri |
346| 6 | **Vulnerable Components** | Bağımlılıklardaki bilinen CVE'ler | SCA taraması, düzenli güncellemeler |
347| 7 | **Auth Failures** | Zayıf parolalar, bozuk oturumlar | MFA, hız sınırlama, güvenli oturum yönetimi |
348| 8 | **Data Integrity Failures** | İmzasız güncellemeler, güvenilmeyen CI/CD | Kod imzalama, SBOM, pipeline bütünlüğü |
349| 9 | **Logging Failures** | Denetim izi yok | Yapılandırılmış loglama, anomalilerde uyarı |
350| 10 | **SSRF** | Server-side request forgery | Giden URL'leri beyaz listeye al, girdileri doğrula |
351~
352## Tam GitHub Actions Security Workflow
353~
354Yukarıdakilerin tümünü birleştiren tam, production'a hazır bir workflow:
355~
356```yaml
357# .github/workflows/security.yml
358name: Security Pipeline
359on:
360  pull_request:
361    branches: [main]
362  push:
363    branches: [main]
364~
365permissions:
366  contents: read
367  security-events: write
368~
369jobs:
370  secrets-scan:
371    name: Secret Detection
372    runs-on: ubuntu-latest
373    steps:
374      - uses: actions/checkout@v4
375        with:
376          fetch-depth: 0
377      - uses: gitleaks/gitleaks-action@v2
378        env:
379          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
380~
381  sast:
382    name: Static Analysis (SAST)
383    runs-on: ubuntu-latest
384    steps:
385      - uses: actions/checkout@v4
386      - uses: semgrep/semgrep-action@v1
387        with:
388          config: p/owasp-top-ten p/typescript p/nodejs
389~
390  dependency-audit:
391    name: Dependency Scan (SCA)
392    runs-on: ubuntu-latest
393    steps:
394      - uses: actions/checkout@v4
395      - uses: actions/setup-node@v4
396        with:
397          node-version: 22
398      - run: npm ci
399      - run: npm audit --audit-level=high
400      - uses: snyk/actions/node@master
401        env:
402          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
403        with:
404          args: --severity-threshold=high
405        continue-on-error: true
406~
407  container-scan:
408    name: Container Scan
409    runs-on: ubuntu-latest
410    needs: [sast, dependency-audit]
411    steps:
412      - uses: actions/checkout@v4
413      - run: docker build -t app:${{ github.sha }} .
414      - uses: aquasecurity/trivy-action@master
415        with:
416          image-ref: app:${{ github.sha }}
417          severity: CRITICAL,HIGH
418          exit-code: '1'
419~
420  sbom:
421    name: SBOM Generation
422    runs-on: ubuntu-latest
423    needs: [container-scan]
424    steps:
425      - uses: actions/checkout@v4
426      - uses: anchore/sbom-action@v0
427        with:
428          format: spdx-json
429          output-file: sbom.spdx.json
430```
431~
432```mermaid
433graph TD
434    PR[Pull Request] --> S1[Secret Detection]
435    PR --> S2[SAST - Semgrep]
436    PR --> S3[SCA - Snyk + npm audit]
437    S2 --> S4[Container Scan - Trivy]
438    S3 --> S4
439    S4 --> S5[SBOM Generation]
440    S5 --> Deploy[Deploy]
441~
442    S1 -.- F1[Block if secrets found]
443    S2 -.- F2[Block on critical vulns]
444    S3 -.- F3[Block on high severity]
445    S4 -.- F4[Block on critical CVEs]
446```
447~
448## Takip Edilecek Metrikler
449~
450DevSecOps programınızın çalışıp çalışmadığını nasıl anlarsınız? Bu metrikleri takip edin:
451~
452- **Mean time to remediate (MTTR)**: tespit sonrası güvenlik açıklarını ne kadar hızlı düzelttiğiniz
453- **Vulnerability escape rate**: production'a ulaşan güvenlik açıklarının yüzdesi
454- **False positive rate**: çok fazla yanlış pozitif, uyarı yorgunluğuna ve görmezden gelinen uyarılara yol açar
455- **Dependency freshness**: bağımlılıklarınızın ortalama yaşı (eski = bilinen CVE olasılığı daha yüksek)
456- **SBOM coverage**: güncel SBOM'lara sahip projelerin yüzdesi
457~
458## Başlarken: Pratik Bir Yol Haritası
459~
460Her şeyi bir anda uygulamaya çalışmayın. Aşamalı yaklaşım daha iyi çalışır:
461~
462```mermaid
463flowchart TD
464    A[Week 1-2: Foundations] --> B[Week 3-4: CI/CD Integration]
465    B --> C[Month 2: Container Security]
466    C --> D[Month 3+: Advanced]
467~
468    A --> A1[Add Gitleaks pre-commit hooks]
469    A --> A2[Enable npm audit in CI]
470    A --> A3[Add .gitignore for .env files]
471~
472    B --> B1[Add Semgrep to GitHub Actions]
473    B --> B2[Add Snyk dependency scanning]
474    B --> B3[Set up SARIF upload to GitHub]
475~
476    C --> C1[Add Trivy container scanning]
477    C --> C2[Harden Dockerfiles]
478    C --> C3[Generate SBOMs]
479~
480    D --> D1[Secret manager integration]
481    D --> D2[Runtime protection - DAST]
482    D --> D3[Policy as code - OPA]
483```
484~
485## Sonuç
486~
487DevSecOps, pipeline'ınıza daha fazla araç eklemekle ilgili değildir  -  güvenliği yazılım oluşturma şeklinizin doğal bir parçası yapmakla ilgilidir. Amaç her PR'yi güvenlik uyarılarıyla engellemek değil, geliştiricilere hızlı geri bildirim vermektir, böylece kod hala zihinlerinde tazeyken sorunları düzeltebilirler.
488~
489Temel konularla başlayın: secrets için pre-commit hooks, CI'da dependency scanning ve Docker images için container scanning. Ardından ekibinizin ihtiyaçlarına göre iterasyon yapın.
490~
491Güvenlik bir kez gönderdiğiniz bir özellik değildir. Her commit'e inşa ettiğiniz bir pratiktir.
492~
493> **DevSecOps Starter Checklist:**
494>
495> - [x] Gitleaks pre-commit hooks kuruldu
496> - [x] .env ve secret dosyaları .gitignore'da
497> - [x] CI pipeline'da Semgrep SAST
498> - [x] Bağımlılık taraması için Snyk veya npm audit
499> - [x] Container image taraması için Trivy
500> - [x] Dockerfiles'da root olmayan kullanıcı
501> - [x] Environment variables veya secret manager'da secrets
502> - [x] Her sürümde SBOM oluşturma
503> - [x] Ekip genelinde OWASP Top 10 farkındalığı
504~