Açık Kaynak Güvenliği

Bağımlılık Risklerini Kontrol Altına Alın:
SCA Güvenlik Analizi

Software Composition Analysis (SCA)

Modern yazılımların %80-90'ı açık kaynak bileşenlerden oluşur. Bu bileşenlerdeki güvenlik açıkları, lisans uyumsuzlukları ve güncel olmayan sürümler ciddi riskler taşır. SCA hizmetimizle üçüncü parti bağımlılıklarınızı analiz ediyor, bilinen zafiyetleri tespit ediyor ve SBOM (Software Bill of Materials) ile yazılım tedarik zincirinizi şeffaf hale getiriyoruz.

Ne Sunuyoruz? Süreç Nasıl İşler? Görüşme Planlayın

Ne Sunuyoruz? SCA Hizmet Kapsamı

SCA çalışmasını sadece "zafiyet taraması" olarak değil; yazılım tedarik zinciri güvenliğinin bütüncül yönetimi olarak ele alıyoruz. Bağımlılık envanteri, zafiyet analizi, lisans uyumluluk kontrolü ve SBOM üretimi tek bir çatı altında sunulur.

Bağımlılık Envanteri (SBOM)

Tüm doğrudan ve geçişli (transitive) bağımlılıklar tespit edilir. CycloneDX veya SPDX formatında SBOM üretilerek yazılım malzeme listesi oluşturulur. Bu envanter; denetim, uyumluluk ve risk yönetimi için temel girdidir.

CVE / Zafiyet Analizi

Bileşenler NVD, OSV, GitHub Advisory ve ticari veritabanlarıyla eşleştirilerek bilinen zafiyetler tespit edilir. Her CVE için CVSS skoru, istismar durumu (EPSS), etki analizi ve düzeltme önerisi sunulur.

Lisans Uyumluluk Kontrolü

GPL, LGPL, MIT, Apache gibi lisanslar tespit edilir ve kurumsal politikalarla karşılaştırılır. Uyumsuzluk riski taşıyan bileşenler işaretlenir; hukuki/ticari risk değerlendirmesi desteklenir.

Sürüm / EOL Takibi

Kullanılan bileşenlerin güncelliği, destek durumu (End-of-Life) ve mevcut en son sürümlerle karşılaştırması yapılır. Güncel olmayan, artık desteklenmeyen bileşenler risk olarak raporlanır.

Önceliklendirme (Triage)

Tüm CVE'leri eşit görmek yerine; istismar edilebilirlik (EPSS), erişilebilirlik (reachability), iş etkisi ve bileşen kritikliği üzerinden önceliklendirme yapılır. Ekipler doğru sırayla ilerler.

CI/CD Entegrasyon Desteği

SCA'yı geliştirme sürecine entegre etmek isteyen ekiplere pipeline kurgusu, eşik değer tanımları ve otomatik kontrol mekanizmaları konusunda rehberlik sağlanır.

Kimler İçin? Hedef Kitle ve Senaryolar

Açık kaynak bileşen kullanan her yazılım projesi potansiyel SCA adayıdır. Özellikle regülasyon baskısı, tedarik zinciri şeffaflığı ve hızlı teslimat gereksinimleri olan organizasyonlar için SCA kritik önem taşır.

  • Kurumsal ürün ekipleri: Node.js, Java, Python, .NET gibi ekosistemlerden yüzlerce bağımlılık kullanan projeler.
  • Regülasyon odaklı sektörler: NIS2, FDA Cybersecurity, PCI DSS 4.0 gibi SBOM zorunluluğu getiren düzenlemelere tabi firmalar.
  • Yazılım tedarikçileri: Müşterilerine SBOM, güvenlik raporu ve lisans uyumluluk belgesi sunması gereken firmalar.
  • M&A / Due Diligence: Satın alma veya yatırım öncesi yazılım varlıklarının güvenlik ve lisans risklerini değerlendirmek isteyenler.
  • DevSecOps dönüşümü: Güvenliği pipeline'a entegre ederek "shift-left" yaklaşımını hayata geçirmek isteyenler.

Neden SCA Kritik?

Log4Shell (CVE-2021-44228) vakası, tek bir açık kaynak bileşenin dünya genelinde milyonlarca sistemi nasıl etkileyebileceğini gösterdi. SCA; bu tür riskleri proaktif olarak tespit eder, tedarik zinciri saldırılarına karşı görünürlük sağlar ve regülasyonların gerektirdiği SBOM altyapısını oluşturur. Reaktif "yangın söndürme" yerine, kontrollü risk yönetimi sunar.

Kritik CVE

Aktif istismar edilen, uzaktan kod çalıştırma riski taşıyan zafiyetler

Lisans Riski

Copyleft (GPL) lisansların ticari ürünlerle uyumsuzluğu

EOL Bileşen

Artık güncelleme almayan, destek dışı bırakılmış kütüphaneler

Sürüm Gecikmesi

Güncel sürümün gerisinde kalan, teknik borç oluşturan bileşenler

Süreç Nasıl İşler? Dependency-to-Decision Pipeline

SCA'yı "tek seferlik tarama" olarak değil; envanter çıkarma, analiz, önceliklendirme ve kapanış doğrulaması içeren yapılandırılmış bir süreç olarak ele alıyoruz. Farklı proje ölçeklerine uyarlanabilir bir çerçeve sunuyoruz.

Kapsam ve Erişim

Proje yapısı, kullanılan paket yöneticileri (npm, Maven, pip, NuGet vb.), mono-repo/multi-repo durumu ve hedeflenen çıktılar netleştirilir. Erişim modeli belirlenir.

Bağımlılık Keşfi

Manifest dosyaları (package.json, pom.xml, requirements.txt vb.) ve lock file'lar analiz edilerek doğrudan ve geçişli tüm bağımlılıklar tespit edilir.

Zafiyet ve Lisans Taraması

Tespit edilen bileşenler CVE veritabanları ve lisans kataloglarıyla eşleştirilir. Her bulgu için CVSS skoru, EPSS, exploit durumu ve lisans tipi belirlenir.

Önceliklendirme (Triage)

Bulgular; istismar edilebilirlik, erişilebilirlik (reachability), iş etkisi ve bileşen kritikliği üzerinden önceliklendirilir. "Her CVE eşit değildir" prensibiyle hareket edilir.

Raporlama ve SBOM

Yönetici özeti, teknik rapor ve SBOM (CycloneDX/SPDX) üretilir. Her bulgu için düzeltme yönlendirmesi ve upgrade path bilgisi sunulur.

Re-scan ve Kapanış

Düzeltmeler sonrası yeniden tarama yapılarak kapanış teyit edilir. Kalan riskler, kabul edilen istisnalar ve teknik borç alanları dokümante edilir.

Reachability Analizi Neden Önemli?

Bir bileşende CVE olması, o CVE'nin sizin kodunuzda istismar edilebilir olduğu anlamına gelmez. Reachability analizi; zafiyetli fonksiyonun gerçekten kullanılıp kullanılmadığını kontrol eder. Bu sayede "gürültü" azalır, ekipler gerçek risklere odaklanır ve gereksiz upgrade maliyetinden kaçınılır.

Teslimatlar Kullanılabilir ve Uyumlu

Teslimat seti; teknik ekiplerin hızlı aksiyon almasına, yönetimin risk görünürlüğüne ve uyumluluk ekiplerinin denetim gereksinimlerine cevap verecek şekilde yapılandırılır.

SBOM (CycloneDX/SPDX)
Tüm bileşenlerin standart formatta listelenmesi. NIS2, FDA Cybersecurity, PCI DSS 4.0 ve EO 14028 gereksinimlerine uygun, makine okunabilir envanter.
Yönetici Özeti
Risk temalarının toplulaştırılması, kritik bulguların öne çıkarılması, genel güvenlik duruş değerlendirmesi. "Neye odaklanmalıyız?" sorusuna net cevap üretir.
Teknik Detay Raporu
CVE bazlı detaylar, etkilenen bileşen/sürüm, CVSS/EPSS skorları, exploit durumu, düzeltme önerisi (upgrade path) ve alternatif bileşen tavsiyeleri.
Lisans Uyumluluk Matrisi
Tüm bileşenlerin lisans tipleri, kurumsal politikalarla uyumluluk durumu ve potansiyel hukuki/ticari riskler.
Önceliklendirilmiş Aksiyon Listesi
Triage sonrası doğrulanmış bulgular; öncelik, bileşen, mevcut/hedef sürüm ve tahmini etki bilgisiyle yapılandırılır.
Re-scan / Kapanış Doğrulaması
Düzeltmeler sonrası yeniden tarama ve kapanış teyidi. Kalan riskler, kabul edilen istisnalar ve teknik borç alanları dokümante edilir.

Sıkça Sorulan Sorular SCA Hakkında

SCA'nın doğru konumlandırılması, beklentinin netleşmesiyle başlar. Aşağıdaki yanıtlar kurumların en sık netleştirdiği konuları ele alır.

SCA ile SAST arasındaki fark nedir?
SAST, sizin yazdığınız kodu (first-party code) analiz eder. SCA ise kullandığınız üçüncü parti bileşenleri (third-party/open-source) analiz eder. Modern yazılımların büyük çoğunluğu açık kaynak bileşenlerden oluştuğu için her iki yöntem de birbirini tamamlar. Kapsamlı bir AppSec programı hem SAST hem SCA içermelidir.
SBOM nedir ve neden önemli?
SBOM (Software Bill of Materials), yazılımınızda kullanılan tüm bileşenlerin listesidir. Bir "malzeme listesi" gibi düşünebilirsiniz. NIS2, FDA Cybersecurity, PCI DSS 4.0 ve ABD EO 14028 gibi düzenlemeler SBOM'u zorunlu kılmaktadır. SBOM; zafiyet yönetimi, lisans uyumu ve tedarik zinciri şeffaflığı için temel girdidir.
Geçişli (transitive) bağımlılıklar neden risk oluşturur?
Doğrudan eklediğiniz bir bileşen (A), başka bileşenlere (B, C) bağımlı olabilir. Bu "bağımlılığın bağımlılıkları" geçişli bağımlılıklardır. Log4Shell örneğinde olduğu gibi, siz hiç Log4j'yi doğrudan kullanmasanız bile, başka bir bileşen üzerinden etkilenebilirsiniz. SCA, bu gizli bağımlılıkları görünür kılar.
SCA taraması ne sıklıkla yapılmalı?
İdeal olarak her commit/PR'da CI/CD entegrasyonu ile otomatik tarama yapılmalıdır. Minimum olarak; major release öncesi, periyodik (aylık/çeyreklik) kontroller ve kritik CVE duyurularında (Log4Shell gibi) acil tarama önerilir. Sürekli izleme, reaktif değil proaktif güvenlik sağlar.
Lisans uyumsuzluğu ne anlama gelir?
Bazı açık kaynak lisanslar (GPL, AGPL gibi) "copyleft" özelliği taşır ve türetilmiş çalışmanın aynı lisansla paylaşılmasını gerektirir. Ticari, kapalı kaynak bir üründe bu tür bileşenler kullanmak hukuki ve ticari riskler doğurabilir. SCA, bu uyumsuzlukları tespit ederek proaktif yönetim sağlar.

Açık Kaynak Bağımlılıklarınızı Kontrol Altına Alın

Yazılım tedarik zincirinizi şeffaf hale getirin, bilinen zafiyetleri tespit edin ve regülasyon gereksinimleriniz için SBOM altyapısını oluşturun. SCA kapsamını birlikte netleştirelim.

[email protected] İletişim Sayfası