Software Composition Analysis (SCA)

Software Composition Analysis (SCA) ile Açık Kaynak Güvenliğinizi Güçlendirin

Yazılım bağımlılıklarınızdaki güvenlik açıklarını, lisans risklerini ve güncelliğini sürekli izleyin. Açık kaynak bileşenlerinizi tam kontrol altına alın. Modern yazılım projelerinde kod tabanının yüzde 80’inden fazlası açık kaynak bileşenlerden oluşur ve bu bileşenlerin her biri potansiyel bir güvenlik riski taşır.

84%

Modern uygulamalarda açık kaynak kodu oranı

49%

Bilinen açıklığa sahip bileşen oranı (2023)

4.45M$

Ortalama veri ihlali maliyeti (IBM 2023)

277 gün

Ortalama ihlal tespit ve müdahale süresi

Açık Kaynak Güvenlik Riski Neden Bu Kadar Kritik?

🔴 Log4Shell Vakası (Aralık 2021)

Apache Log4j kütüphanesinde bulunan kritik güvenlik açığı, dünya çapında milyonlarca sunucuyu etkiledi. CVSS 10.0 skoruyla derecelendirilen bu açık, saldırganların uzaktan kod çalıştırmasına (RCE) olanak tanıdı. Etkilenen organizasyonlar arasında Apple, Amazon, Tesla, Twitter ve binlerce kurumsal şirket yer aldı.

Yama süreci: İlk 48 saatte 35 binden fazla Java paketi güncellendi, ancak tam iyileşme aylar sürdü. Birçok organizasyon hala eski versiyonları kullanıyor.

🔴 Equifax Veri İhlali (2017)

Apache Struts framework’ündeki bilinen bir güvenlik açığı nedeniyle 147 milyon kişinin kişisel verileri çalındı. Açık iki ay önce yamalanmış olmasına rağmen Equifax sistemlerinde güncellenme yapılmamıştı. Şirket 700 milyon dolar tazminat ödedi ve CEO istifa etti.

Maliyet dökümü: 1.4 milyar dolar toplam zarar (tazminat, sistem iyileştirme, siber güvenlik danışmanlığı, itibar kaybı).

🔴 Event-Stream NPM Saldırısı (2018)

Haftalık 2 milyon indirmeye sahip popüler NPM paketi event-stream’e kötü niyetli kod enjekte edildi. Saldırgan, paket bakımcısından erişim izni alarak cryptocurrency cüzdanlarını hedef alan bir backdoor ekledi. Binlerce proje etkilendi.

Supply chain attack: Güvenilir bir bağımlılığın içine gizlenmiş zararlı kod, geleneksel güvenlik taramalarını atlatabilir.

Açık Kaynak Bağımlılıklarının Taşıdığı 5 Kritik Risk

1. Bilinen Güvenlik Açıkları (CVE)

NVD veritabanında yılda ortalama 20 bin yeni CVE kaydediliyor. Güncel olmayan bir bağımlılık, sisteminizi bilinen exploit’lere açık hale getirir.

2. Transitive Dependencies (Dolaylı Bağımlılıklar)

Bir paket ortalama 79 dolaylı bağımlılığa sahip. Bu bağımlılıkları manuel takip etmek neredeyse imkansız ve buradaki açıklar sıklıkla gözden kaçar.

3. Lisans Uyumsuzlukları

GPL lisanslı bir paket, proprietary yazılımınızı da GPL altına sokabilir. Lisans ihlalleri milyonlarca dolarlık davalarla sonuçlanabilir.

4. Bakımsız ve Terk Edilmiş Paketler

NPM paketlerinin yüzde 15’i son 2 yılda hiç güncellenmemiş. Bakımsız paketlerde yeni açıklar bulunsa da yama çıkmaz.

5. Supply Chain Saldırıları

Paket deposuna veya geliştiriciye yapılan saldırılarla kötü amaçlı kod enjekte edilebilir. SolarWinds saldırısı bu tür bir supply chain attack örneğidir.

SCA ile Neler Sunuyoruz?

Kapsamlı Software Composition Analysis çözümümüz, yazılım geliştirme yaşam döngünüzün her aşamasında açık kaynak güvenliğini sağlar. İşte sunduğumuz temel yetenekler ve bunların iş süreçlerinize katkıları:

Kapsamlı Güvenlik Açığı Tespiti

CVE, NVD, GitHub Security Advisory, Snyk Intelligence ve özel güvenlik veritabanlarıyla entegre çalışarak üçüncü parti kütüphanelerdeki bilinen güvenlik açıklarını anında tespit eder. CVSS v3.1 skorlama sistemine göre önceliklendirme yapar ve EPSS (Exploit Prediction Scoring System) ile gerçek dünyada exploit edilme olasılığını hesaplar.

Real-time CVE monitoring: Yeni açıklar yayınlandığında anlık bildirim
Exploitability assessment: Açığın aktif olarak istismar edilip edilmediğini kontrol
Patch availability check: Güncel yamaların otomatik tespiti
Zero-day vulnerability tracking: Henüz yama çıkmamış kritik açıklar için özel takip

Akıllı Lisans Uyumluluk Yönetimi

Açık kaynak lisanslarını otomatik tarar, GPL, LGPL, MIT, Apache, BSD gibi 200’den fazla lisans türünü tanır. Lisans çakışmalarını tespit eder, proprietary kodunuzla uyumsuz lisansları işaretler ve yasal risk analizi sunar. SPDX standardına uyumlu SBOM (Software Bill of Materials) oluşturur.

Copyleft vs permissive license detection: GPL/AGPL gibi viral lisansların tespiti
License conflict matrix: Birbiriyle uyumsuz lisansların görselleştirilmesi
Custom policy enforcement: Kurum politikanıza göre lisans kısıtlamaları
Attribution report: Açık kaynak katkıda bulunanlar için gerekli credit raporları

Derin Bağımlılık Analizi ve Haritalama

Doğrudan (direct) ve dolaylı (transitive) tüm bağımlılıkları tam dependency graph’i ile görselleştirir. Her bağımlılığın versiyonunu, kullanım yerini, güncellik durumunu ve alternativlerini analiz eder. Tekrar eden (duplicate) paketleri tespit ederek bundle size optimizasyonu önerir. Monorepo yapılar için cross-project bağımlılık analizi sunar.

Interactive dependency tree: Görsel haritalama ve drill-down imkanı
Version drift detection: Aynı paketin farklı versiyonlarının tespiti
Outdated package alerts: Güncelliğini kaybetmiş paketler için uyarı
Alternative package suggestions: Güvenli ve güncel alternatif önerileri

CI/CD Pipeline Entegrasyonu ve Sürekli İzleme

Jenkins, GitLab CI, GitHub Actions, CircleCI, Azure DevOps, Bamboo ve tüm major CI/CD platformlarına native plugin veya CLI aracıyla entegre olur. Her commit, PR ve build’de otomatik tarama yapar. Policy gate mekanizmasıyla belirlediğiniz eşik değerlerini aşan güvenlik açıkları veya lisans ihlallerinde build’i durdurur. Shift-left yaklaşımıyla geliştirme aşamasında güvenliği sağlar.

PR-based scanning: Pull request açılır açılmaz otomatik güvenlik kontrolü
Policy as code: YAML/JSON formatında güvenlik kuralları tanımlama
Break build on critical: Critical/High seviye açıklarda build’i bloke etme
Slack/Teams/Email notifications: Anlık bildirim entegrasyonları

Otomasyon ve Remediation Desteği

Güvenlik açıklarının otomatik çözümü için auto-remediation önerileri sunar. Güvenli versiyona güncellemek için otomatik pull request oluşturur (Dependabot benzeri). Breaking change risk analizi yaparak güncelleme etkisini önceden değerlendirir. Test coverage ve regression test sonuçlarını entegre ederek güvenli güncellemeleri kolaylaştırır.

Auto-PR generation: Güvenlik yamalarını otomatik PR olarak sunma
Semantic versioning check: Major/minor/patch güncellemeleri ayırt etme
Rollback capability: Problemli güncelleme sonrası geri alma desteği
Bulk updates: Çoklu bağımlılık güncellemelerini tek PR’da toplama

Kurumsal Dashboard ve Raporlama

Executive dashboard ile kuruluş genelindeki güvenlik durumunu tek ekrandan izleyin. Proje bazlı, takım bazlı ve zaman serisi analizleri yapın. Compliance raporları oluşturun (SOC2, ISO 27001, PCI-DSS gereksinimleri için). SLA tracking ile güvenlik açıklarının çözüm sürelerini ölçün. Trend analizleriyle güvenlik olgunluğunu takip edin.

Risk score trending: Zaman içinde risk seviyesi değişimi grafiği
MTTR (Mean Time To Remediate): Ortalama açık kapama süresi metrikleri
Team performance comparison: Takımlar arası güvenlik kıyaslaması
Custom report builder: İhtiyaca özel rapor şablonları oluşturma

SCA Kimler İçin Kritik?

Yazılım bağımlılıkları her sektörde farklı risk profilleri oluşturur. İşte SCA’nın hayati önem taşıdığı alanlar ve kullanım senaryoları:

DevSecOps ve Güvenlik Ekipleri

Yazılım geliştirme döngüsünün her aşamasında güvenlik risklerini proaktif yönetmek isteyen ekipler için vazgeçilmez. Shift-left yaklaşımıyla güvenliği geliştirme sürecine entegre eder, production’a çıkmadan önce açıkları tespit eder.

Kullanım Senaryosu:

Bir fintech şirketinin güvenlik ekibi, her sprint sonunda production’a çıkmadan önce tüm microservice’leri SCA ile tarar. Log4Shell gibi zero-day açıklar bulunduğunda otomatik olarak etkilenen servisleri tespit eder ve yama önceliklerini belirler. CI/CD pipeline’da policy gate kullanarak kritik açık varsa deployment’ı engellerler.

Fintech ve Bankacılık Sektörü

PCI-DSS, KVKK, GDPR, SOC2 ve BDDK gibi düzenlemelere uyum için açık kaynak bileşenlerin sürekli denetimi zorunludur. Finansal veri işleyen sistemlerde tek bir açık bile milyonlarca kullanıcıyı etkileyen veri ihlaline yol açabilir. Regülatörler tarafından düzenli denetlenen SBOM raporları şarttır.

Uyumluluk Gereksinimleri:

PCI-DSS 4.0 Requirement 6.3.2: “Tüm sistem bileşenlerinde bilinen güvenlik açıklarının düzenli olarak tespit edilmesi ve değerlendirilmesi gerekir.” SCA bu gereksinimi otomatize eder ve sürekli uyumluluk kanıtı sağlar.

Audit trail: Her tarama sonucunun tarihçesi tutulur, hangi açığın ne zaman tespit edildiği ve ne zaman kapatıldığı raporlanır. Denetim sırasında compliance kanıtı olarak sunulur.

SaaS ve Bulut Tabanlı Ürün Şirketleri

Binlerce müşteriye aynı kod tabanından hizmet veren multi-tenant SaaS platformlar için tek bir güvenlik açığı tüm müşteri verilerini riske atar. Shared responsibility model gereği açık kaynak güvenliği tamamen şirketin sorumluluğundadır. Müşteri sözleşmelerinde güvenlik SLA’ları ve SOC2 Type II raporları istendiğinde SCA çıktıları kritik kanıt oluşturur.

ROI Hesaplaması:

1000 müşterili bir SaaS şirketi için tek bir veri ihlali ortalama 4.5M$ maliyete sebep olur. SCA yatırımı yıllık 50-100K$ arasındayken, tek bir ihlali önlemek bile 45x ROI sağlar. Ayrıca otomatik remediation ile developer verimliliğinde yüzde 30 artış, false positive azalması ile security team yükünde yüzde 40 azalma sağlanır.

Kurumsal Yazılım Geliştirme Departmanları

Yüzlerce mikro servis, onlarca API, binlerce bağımlılık içeren büyük ölçekli enterprise projeler manuel bağımlılık yönetiminin ötesindedir. Farklı ekiplerin kullandığı ortak bağımlılıklarda versiyon uyumsuzlukları, güvenlik açıkları ve lisans sorunları organizasyon genelinde risk yaratır. Merkezi SCA governance ile tüm projeler standart güvenlik seviyesinde tutulur.

Enterprise Özellikler:

Organization-wide policy management: Tüm projelere tek merkezden güvenlik kuralları uygulama
Cross-team visibility: Hangi ekibin hangi açıkları ne kadar sürede kapattığını izleme
Centralized license approval: Yasal ekibin onayladığı lisans listesi oluşturma
Shared vulnerability database: Bir ekipte tespit edilen açığın diğer ekiplerde de kontrolü

E-ticaret ve Perakende Platformları

Ödeme sistemleri, müşteri verileri, envanter yönetimi ve lojistik entegrasyonları kritik açık kaynak bileşenler kullanır. Black Friday gibi yoğun dönemlerde güvenlik açığı nedeniyle yaşanacak downtime hem gelir kaybına hem de itibar kaybına neden olur. PCI-DSS uyumluluğu e-ticaret için zorunludur.

Sağlık Teknolojileri (HealthTech)

HIPAA, KVKK ve diğer sağlık veri koruma düzenlemeleri çerçevesinde hasta verilerini işleyen sistemlerde güvenlik açıkları yasal sorumluluk doğurur. Tele-tıp platformları, EHR (Electronic Health Records) sistemleri ve tıbbi cihaz yazılımları için SCA zorunlu hale gelmiştir.

Açık Kaynak Kullanan Tüm Organizasyonlar

NPM, Maven, PyPI, NuGet, RubyGems, Go modules, Composer gibi paket yöneticilerinden bağımlılık çeken her proje potansiyel risk taşır. Startup’lar, SMB’ler ve Fortune 500 şirketleri aynı açık kaynak ekosistemini kullanır ve aynı risklere maruz kalır. Organizasyon büyüklüğü veya sektör fark etmeksizin SCA modern yazılım geliştirmede temel gereksinimdir.

SCA Süreci Nasıl İşler?

Software Composition Analysis, çok katmanlı bir tarama ve analiz sürecidir. Her aşama farklı boyutlarda risk değerlendirmesi yapar ve kapsamlı bir güvenlik raporu oluşturur:

Kod Tabanı ve Manifest Analizi

package.json, pom.xml, requirements.txt, Gemfile, go.mod, composer.json gibi tüm manifest dosyalarınız derinlemesine taranır. Lock dosyaları (package-lock.json, yarn.lock) incelenerek tam versiyon bilgileri çıkarılır. Doğrudan ve dolaylı tüm bağımlılıkların tam envanteri oluşturulur.

Desteklenen Ekosistemler: JavaScript/Node.js, Python, Java/Kotlin, .NET/C#, Ruby, Go, PHP, Rust, Scala, Swift/Objective-C

Güvenlik Veritabanları ile Eşleştirme

Tespit edilen her paket ve versiyonu NVD (National Vulnerability Database), GitHub Security Advisory Database, Snyk Intel, OSS Index ve özel threat intelligence kaynaklarıyla karşılaştırılır. CVE numaraları, CVSS skorları, CWE kategorileri ve EPSS (Exploit Prediction Scoring) değerleri hesaplanır.

Veritabanları: NVD, GitHub Advisory, Snyk, OSS Index, VulnDB, Ruby Advisory, Python Safety DB – 200K+ CVE kaydı

Lisans Taraması ve Uyumluluk

Her paketin lisansı otomatik tespit edilir. SPDX standardı kullanılarak GPL, LGPL, MIT, Apache, BSD, MPL, EPL ve 200+ lisans türü tanınır. Lisans uyumsuzlukları, copyleft viral etkiler ve attribution gereksinimleri raporlanır. Proprietary kod ile uyumsuz lisanslar işaretlenir.

Risk Seviyeleri: High (GPL/AGPL), Medium (LGPL/MPL), Low (MIT/Apache), Unknown (lisans bilgisi yok)

Risk Skoru ve Önceliklendirme

CVSS base score, temporal score ve environmental score hesaplanır. Açığın production’da exploitable olup olmadığı analiz edilir (reachability analysis). EPSS ile gerçek dünyada exploit görülme olasılığı hesaplanır. Kritik > Yüksek > Orta > Düşük önceliklendirmesi yapılır ve remediation roadmap oluşturulur.

Önceliklendirme Faktörleri: CVSS skoru, exploit availability, patch availability, business criticality

Remediation ve Auto-fix Önerileri

Her açık için patch edilmiş güvenli versiyon önerilir. Breaking change riski analiz edilir (semantic versioning kontrolü). Otomatik pull request oluşturulabilir veya manuel güncelleme için detaylı talimatlar verilir. Upgrade path ve test coverage gereksinimleri belirtilir.

Auto-remediation: Patch mevcut > PR oluştur > Test et > Manual review > Merge > Verify fix

Sürekli İzleme ve Bildirimler

CI/CD pipeline entegrasyonu ile her commit/PR/build’de otomatik tarama. Yeni CVE yayınlandığında ilgili projelerde etkisi analiz edilir ve real-time bildirim gönderilir. Slack, Teams, Email, JIRA, PagerDuty gibi araçlarla entegre alerting. Dashboard üzerinden merkezi izleme ve raporlama.

Bildirim Kanalları: Email, Slack, MS Teams, Webhook, JIRA ticket, PagerDuty alert

Teknik İş Akışı

Git Push

Developer commits code

→

CI Trigger

Pipeline starts SCA scan

→

Analysis

Dependencies scanned

→

Policy Check

Pass/fail gate

→

Report

Results & alerts sent

SCA Araçları ve Özellikleri

Piyasada birçok SCA aracı mevcut ancak özellikleri, fiyatlandırmaları ve entegrasyon yetenekleri farklılık gösterir. İşte popüler araçların karşılaştırmalı değerlendirmesi:

Özellik	Snyk	WhiteSource (Mend)	Sonatype Nexus	Black Duck	OWASP Dependency-Check
Fiyat Modeli	Free / Pro / Enterprise	Enterprise (Contact)	Free / Pro / Enterprise	Enterprise (Contact)	Tamamen Ücretsiz
Dil Desteği	20+ dil	25+ dil	15+ dil	30+ dil	Java, .NET, Python, Ruby, Node.js
CVE Veritabanı	Snyk Intel + NVD	WS DB + NVD	Sonatype DB + NVD	KnowledgeBase + NVD	NVD
Auto-remediation	✅ Mükemmel	✅ İyi	✅ İyi	⚠️ Sınırlı	❌ Yok
CI/CD Entegrasyonu	✅ Çok İyi	✅ İyi	✅ İyi	✅ İyi	✅ CLI/Plugin
Lisans Yönetimi	✅ Var	✅✅ Detaylı	✅ Var	✅✅ Detaylı	⚠️ Temel
False Positive Oranı	Düşük	Orta	Düşük	Orta-Yüksek	Orta
En Uygun Senaryo	DevSecOps, Startups	Enterprise, Compliance	Java ekosistemi, Maven	Regulated industries	Açık kaynak projeler

Tavsiyemiz: Küçük-orta ölçekli projeler için Snyk veya OWASP Dependency-Check başlangıç için ideal. Enterprise seviyede compliance gereksinimleri olan organizasyonlar WhiteSource (Mend) veya Black Duck’ı değerlendirmeli. Java ağırlıklı projeler için Sonatype Nexus güçlü bir seçenek. Çok ekipli, polyglot (çok dilli) yapılar için Snyk’ın developer experience’i öne çıkıyor.

SCA Hizmetinden Ne Tür Çıktılar Alırsınız?

Comprehensive SCA taraması sonucunda elde edeceğiniz raporlar ve deliverable’lar, yalnızca güvenlik ekibiniz için değil, developer’lar, yönetim, legal team ve compliance ekipleri için de kritik içgörüler sağlar:

1. Bağımlılık Envanteri Raporu (SBOM – Software Bill of Materials)

SPDX veya CycloneDX formatında tüm doğrudan ve dolaylı bağımlılıkların tam listesi. Her bağımlılık için: paket adı, versiyon, maintainer, lisans türü, kullanım yeri (hangi modüllerde kullanıldığı), son güncellenme tarihi, dependency depth (kaç seviye derinlikte), download sayısı ve popülerlik metrikleri.

Kullanım Alanları:

Compliance audit sırasında SBOM sunumu (SOC2, ISO 27001 gereksinimleri)
Müşteri sözleşmelerinde “bağımlılık şeffaflığı” gereklilikleri
Supply chain risk assessment
Versiyon upgrade planlaması

2. Güvenlik Açıkları ve Risk Skoru Detay Raporu

Her CVE için: CVE numarası, etkilenen paket ve versiyon, CVSS v3.1 base/temporal/environmental skorları, CWE kategorisi (injection, XSS, deserialization vb.), exploit availability (PoC veya weaponized exploit var mı), EPSS skoru (exploit edilme olasılığı), patch mevcut mu, hangi versiyona güncellenmeli, breaking change riski var mı.

Örnek CVE Girişi:

              CVE-2021-44228 (Log4Shell)

              Paket: org.apache.logging.log4j:[email protected]

              CVSS: 10.0 (Critical) | EPSS: 97.5% | Exploit: Public PoC available

              CWE-502: Deserialization of Untrusted Data

              Fix: Update to 2.17.1+ | Breaking: No

              Impact: Remote Code Execution (RCE) – Acil güncelleme gerekli

3. Lisans Uyumluluk ve Yasal Risk Matrisi

Her paketin lisans türü (MIT, Apache 2.0, GPL, LGPL, BSD, proprietary, unknown), copyleft risk seviyesi, lisans uyumsuzlukları (örnek: GPL paket ile proprietary kod bir arada kullanılamaz), attribution gereksinimleri (hangi paketler için credit verilmeli), dual-license durumları, özel lisans koşulları ve yasal risk skorlaması.

License Conflict Örneği:

⚠️ HIGH RISK: GPL-3.0 lisanslı “libxyz” paketi proprietary ürününüzde kullanılıyor. GPL copyleft koşulları gereği ya tüm kodunuzu açmak zorundasınız ya da bu paketi kaldırmalısınız. Alternatif: Apache-2.0 lisanslı “libabc” paketi benzer işlevi sağlıyor.

4. Aksiyon Planı ve Remediation Roadmap

Öncelik sırasına göre remediation planı: Acil (0-7 gün), Yüksek (8-30 gün), Orta (31-90 gün), Düşük (90+ gün). Her güvenlik açığı için: hangi paketin hangi versiyona güncellenmesi gerektiği, güncelleme adımları, test gereksinimleri, rollback planı, alternative solutions (güncelleme yapılamıyorsa geçici çözümler), effort estimation (adam/saat).

Sprint Planning İçin Hazır Task Listesi:

Sprint 1: Critical CVE’leri patch et (4 paket, tahmini 16 saat)
Sprint 2: High priority açıklar + regression test (8 paket, 24 saat)
Sprint 3: Medium açıklar + lisans uyumsuzluklarını çöz (12 paket, 32 saat)
Sprint 4: Outdated paketleri güncelle + dependency cleanup (20 saat)

5. Trendler, Metrikler ve KPI Dashboard

Time-series analizleriyle güvenlik durumunun trendi: Risk score over time, yeni açıklar vs kapanan açıklar, MTTR (Mean Time To Remediate), SLA compliance, team performance, en çok açık barındıran paketler top 10, en riskli projeler, vulnerability age distribution, remediation velocity.

Örnek KPI’lar:

87%

Critical/High CVE remediation rate

12 days

Average MTTR for critical issues

-42%

Risk score reduction (3 months)

95%

Policy compliance score

6. Executive Summary ve Compliance Raporları

Yönetim ve yatırımcılar için high-level özet: Toplam bağımlılık sayısı, risk dağılımı (critical/high/medium/low), lisans uyumluluk durumu, remediation progress, budget impact, compliance status (SOC2/ISO/PCI gereksinimleri). PDF formatında board meeting’ler için hazır sunum, auditor’lar için detaylı compliance kanıt paketi.

Sıkça Sorulan Sorular

SCA hakkında en çok merak edilen konular ve detaylı cevapları. Kendi sorunuzu bulamıyorsanız bizimle iletişime geçin.

SCA ile SAST, DAST ve IAST arasındaki fark nedir? Hangisini kullanmalıyım?

SCA (Software Composition Analysis): Üçüncü parti ve açık kaynak bağımlılıklardaki bilinen güvenlik açıklarını tespit eder. Kendi kodunuz değil, kullandığınız kütüphaneleri tarar.

SAST (Static Application Security Testing): Kendi yazdığınız kaynak kodda güvenlik açıkları arar (SQL injection, XSS, hardcoded secrets vb.). Kod çalıştırılmadan statik analiz yapar.

DAST (Dynamic Application Security Testing): Çalışan uygulamayı dışarıdan test eder, penetrasyon testi benzeri. Runtime davranışını inceler.

IAST (Interactive Application Security Testing): Uygulama çalışırken içeriden güvenlik analizi yapar, SAST ve DAST’ın birleşimidir.

Tavsiye: Bu araçlar birbirini tamamlar, değiştirmez. Kapsamlı AppSec programı için hepsine ihtiyaç var. Ancak bütçe kısıtlıysa öncelik sırası: SCA > SAST > DAST > IAST şeklinde olmalı çünkü modern uygulamalarda en büyük risk açık kaynak bağımlılıklardan kaynaklanır.

Hangi programlama dillerini ve paket yöneticilerini destekliyor?

Modern SCA araçları neredeyse tüm major dilleri ve ekosistemlerini destekler:

JavaScript/TypeScript: NPM, Yarn, Yarn Berry, pnpm, Lerna (monorepo)
Python: pip, Pipenv, Poetry, Conda, requirements.txt, setup.py, pyproject.toml
Java/Kotlin: Maven (pom.xml), Gradle (build.gradle, build.gradle.kts)
.NET/C#: NuGet (packages.config, .csproj, PackageReference)
Ruby: Bundler (Gemfile, Gemfile.lock)
Go: Go modules (go.mod, go.sum), dep, glide
PHP: Composer (composer.json, composer.lock)
Rust: Cargo (Cargo.toml, Cargo.lock)
Swift/Objective-C: CocoaPods, Carthage, Swift Package Manager
Scala: sbt
Docker: Docker image scanning (base image vulnerabilities)

Not: Polyglot projeler (birden fazla dil) tek taramada desteklenir. Örnek: React frontend (NPM) + Spring Boot backend (Maven) + Python microservice (pip) aynı repoda sorunsuz taranır.

CI/CD pipeline’ıma nasıl entegre edilir? Build sürem ne kadar uzar?

SCA entegrasyonu çok basittir ve minimal overhead yaratır:

1. CLI Tool: Tek komutla tarama yapabilen CLI aracı pipeline’a eklenir. Örnek: snyk test veya dependency-check --scan .

2. Native Plugins: Jenkins, GitLab CI, GitHub Actions, CircleCI, Travis, Azure Pipelines için hazır plugin’ler var. Marketplace’den yükle, API key yapılandır, kullanmaya başla.

3. Docker Container: SCA aracını Docker image olarak kullan, her ortamda çalışır.

4. API Integration: REST API ile kendi custom pipeline’ına entegre et.

Performance Impact: Orta ölçekli bir projede (500 bağımlılık) tarama süresi 30-90 saniye arasındadır. Incremental scan (yalnızca değişen bağımlılıkları tara) ile bu süre 10-15 saniyeye düşer. Paralel pipeline kullanılarak build süresine neredeyse hiç etki etmez.

False positive oranı ne kadar? Gerçekten riskli olmayan açıkları nasıl filtrelerim?

Açık kaynak güvenlik veritabanları (NVD, CVE) genellikle yüksek doğruluk oranına sahiptir ancak her CVE sizin uygulamanız için gerçek risk oluşturmaz. Modern SCA araçları false positive azaltmakiçin şu teknikleri kullanır:

Reachability Analysis: Açık kod parçasına kodunuzdan gerçekten erişiliyor mu kontrol eder. Eğer vulnerable fonksiyon hiç çağrılmıyorsa risk düşer.
Exploitability Intelligence: Açık teorik mi yoksa gerçek dünyada aktif exploit ediliyor mu? EPSS skoru ve exploit DB’leri kontrol edilir.
Context-aware Filtering: Development dependency mi production dependency mi? Test kütüphanelerindeki açıklar genelde düşük risk.
Custom Ignore Rules: Belirli CVE’leri veya paketleri “kabul edilebilir risk” olarak işaretle, gelecek taramalarda ignore et.

Tipik false positive oranı yüzde 10-20 arasındadır ancak reachability analysis ile bu oran yüzde 5’in altına düşer. Snyk gibi gelişmiş araçlar makine öğrenmesi ile false positive oranını sürekli iyileştirir.

Otomatik düzeltme (auto-remediation) mümkün mü? Riskleri neler?

Evet, çoğu SCA aracı otomatik düzeltme özelliği sunar ancak dikkatli kullanılmalıdır:

Nasıl Çalışır: SCA aracı güvenli bir patch versiyonu tespit ettiğinde otomatik olarak package.json veya pom.xml dosyasını günceller ve bir pull request oluşturur. Developer bu PR’ı review eder, testler çalışır, onaylanırsa merge edilir.

Riskler: Semantic versioning’e rağmen bazı paket güncellemeleri breaking change içerebilir. Otomatik güncelleme production’da beklenmedik hatalara yol açabilir. Bu nedenle auto-remediation genellikle development ve staging ortamlarında kullanılır, production merge manuel onay gerektirir.

Best Practice: Patch ve minor güncellemeleri otomatik yap, major güncellemeleri manuel review’e gönder. Comprehensive test coverage’ınız varsa auto-merge güvenle kullanılabilir. Yoksa, otomatik PR aç ama manuel test sonrası merge et.

SCA maliyeti nasıl hesaplanır? Hangi fiyatlandırma modelleri var?

SCA araçlarının fiyatlandırma modelleri değişkenlik gösterir:

Proje Bazlı: Taradığınız proje/repo sayısına göre (örnek: $100/ay/proje)
Developer Bazlı: Aktif geliştirici sayısına göre (örnek: $50/ay/developer)
Scan Credits: Aylık tarama hacmine göre paket sistemi (örnek: 1000 scan = $500)
Enterprise Flat Fee: Sınırsız kullanım için yıllık sabit ücret ($50K-$200K arası)

Açık Kaynak Alternatifler: OWASP Dependency-Check, Trivy, Grype gibi araçlar tamamen ücretsizdir ancak kurumsal destek, gelişmiş özellikler (auto-remediation, dashboard, API) ve düşük false positive için ticari araçlar tercih edilir.

ROI Hesabı: Tek bir veri ihlali ortalama 4.5M$ maliyetlidir. SCA yatırımı yılda 20-100K$ arasındaysa, tek bir major incident’i önlemek bile 45-225x ROI sağlar. Ayrıca developer verimliliği, automated remediation ve azalan security debt de hesaba katılmalı.

Monorepo yapılarda SCA nasıl çalışır? Her proje ayrı mı taranır?

Modern SCA araçları monorepo’ları native olarak destekler. Lerna, Nx, Turborepo gibi monorepo araçlarıyla entegre çalışabilir. Her workspace/package ayrı taranır ama sonuçlar konsolide edilir. Ortak bağımlılıklar (root package.json) ve workspace-specific bağımlılıklar ayrı raporlanır. Cross-workspace dependency analysis yaparak bir workspace’teki güvenlik açığının diğer workspace’leri nasıl etkilediğini gösterir.

Örnek: 20 microservice içeren bir monorepo’da tüm servisler tek komutla taranır, her servisin bağımlılık grafiği ayrı ama ortak açıklar konsolide raporda gösterilir.

Private npm registry veya internal package repository kullanıyorum, SCA bunları tarayabilir mi?

Evet, enterprise SCA araçları private registry’leri destekler. Artifactory, Nexus, GitHub Packages, AWS CodeArtifact gibi internal repo’larla entegre olabilir. Authentication configuration (API key, token) ile private paketler taranır. Internal paketleriniz için custom vulnerability database oluşturabilir, kendi CVE’lerinizi tanımlayabilirsiniz. SBOM generation internal paketleri de kapsar.

Docker image’larımı da tarayabilir miyim? Container güvenliği SCA’nın parçası mı?

Evet, çoğu modern SCA aracı container image scanning özelliği sunar. Docker, containerd, OCI image formatları desteklenir. Base image vulnerabilities (Alpine, Ubuntu, Debian vb. OS katmanı), application dependencies (image içindeki NPM, pip paketleri) ve embedded binaries taranır. Dockerfile best practice kontrolü yapılır (root user, secrets in ENV vb.).

Bonus: Kubernetes manifest (YAML) taraması ile K8s config hataları da tespit edilebilir (network policy, RBAC, pod security standards).

SCA sonuçlarını SIEM veya SOAR platformumuza entegre edebilir miyim?

Kesinlikle. Enterprise SCA araçları Splunk, Elasticsearch, QRadar, Sumo Logic gibi SIEM araçlarına JSON/Syslog formatında log gönderebilir. Webhook entegrasyonu ile SOAR platformlarına (Phantom, Demisto) bildirim yapılabilir. JIRA, ServiceNow, PagerDuty ile ticket/incident oluşturma otomasyonu desteklenir. REST API ile kendi custom dashboard’larınıza veri çekebilirsiniz. SARIF (Static Analysis Results Interchange Format) standardı desteklenir.

Açık Kaynak Güvenlik Riskinizi Hemen Öğrenin

Kod tabanınızın kapsamlı SCA taramasını ücretsiz talep edin. Bağımlılık envanteri, güvenlik açıkları, lisans riskleri ve remediation roadmap’i ile birlikte 24 saat içinde detaylı rapor alın. Hiçbir yükümlülük gerektirmez.

Tarama Süresi

24 Saat

Rapor Formatı

PDF + JSON

Ücret

Tamamen Ücretsiz

Ücretsiz SCA Taraması Talep Et →

✓ Kredi kartı gerektirmez ✓ Anında başvuru ✓ Uzman danışmanlık dahil

{ “@context”: “https://schema.org”, “@type”: “Service”, “serviceType”: “Software Composition Analysis”, “name”: “Software Composition Analysis (SCA) Hizmeti”, “description”: “Yazılım bağımlılıklarınızdaki güvenlik açıklarını, lisans risklerini ve güncelliğini sürekli izleyen kurumsal SCA çözümü. CVE taraması, SBOM oluşturma, lisans uyumluluk yönetimi ve otomatik remediation.”, “provider”: { “@type”: “Organization”, “name”: “Nesil Teknoloji”, “url”: “https://www.nesilteknoloji.com” }, “areaServed”: “TR”, “audience”: { “@type”: “Audience”, “audienceType”: “DevSecOps Ekipleri, Yazılım Geliştirme Departmanları, Fintech Şirketleri, SaaS Platformları, Kurumsal IT Departmanları” }, “offers”: { “@type”: “Offer”, “description”: “Ücretsiz SCA taraması ve detaylı güvenlik raporu” } } { “@context”: “https://schema.org”, “@type”: “FAQPage”, “mainEntity”: [ { “@type”: “Question”, “name”: “SCA ile SAST, DAST ve IAST arasındaki fark nedir?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “SCA üçüncü parti ve açık kaynak bağımlılıklardaki bilinen güvenlik açıklarını tespit eder. SAST kendi yazdığınız kaynak kodda güvenlik açıkları arar. DAST çalışan uygulamayı dışarıdan test eder. IAST uygulama çalışırken içeriden güvenlik analizi yapar. Bu araçlar birbirini tamamlar ve kapsamlı AppSec için hepsine ihtiyaç vardır.” } }, { “@type”: “Question”, “name”: “Hangi dilleri ve paket yöneticilerini destekliyor?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “JavaScript (NPM, Yarn, pnpm), Python (pip, poetry), Java (Maven, Gradle), .NET (NuGet), Ruby (Bundler), Go (go mod), PHP (Composer), Rust (Cargo), Swift (CocoaPods), Scala (sbt) ve Docker image scanning dahil tüm major ekosistemler desteklenir.” } }, { “@type”: “Question”, “name”: “CI/CD sürecimize nasıl entegre edilir?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “CLI aracı, Docker container veya native plugin ile Jenkins, GitLab CI, GitHub Actions, Azure Pipelines gibi platformlara kolayca entegre edilir. Build pipeline’ınıza ek bir adım olarak eklenir. Orta ölçekli projede tarama süresi 30-90 saniye, incremental scan ile 10-15 saniyeye düşer.” } }, { “@type”: “Question”, “name”: “False positive oranı ne kadar?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “Tipik false positive oranı yüzde 10-20 arasındadır. Modern SCA araçları reachability analysis, exploitability intelligence ve context-aware filtering kullanarak bu oranı yüzde 5’in altına düşürür. Snyk gibi gelişmiş araçlar makine öğrenmesi ile false positive oranını sürekli iyileştirir.” } }, { “@type”: “Question”, “name”: “Otomatik düzeltme (auto-remediation) mümkün mü?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “Evet, SCA araçları güvenli patch versiyonu tespit ettiğinde otomatik pull request oluşturur. Ancak breaking change riski nedeniyle patch ve minor güncellemeler otomatik, major güncellemeler manuel review ile yapılmalıdır. Comprehensive test coverage varsa auto-merge güvenle kullanılabilir.” } }, { “@type”: “Question”, “name”: “SCA maliyeti nasıl hesaplanır?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “Fiyatlandırma modelleri: proje bazlı ($100/ay/proje), developer bazlı ($50/ay/developer), scan credits veya enterprise flat fee ($50K-$200K/yıl). OWASP Dependency-Check gibi açık kaynak alternatifler ücretsizdir. Tek bir veri ihlali 4.5M$ maliyetli olduğundan ROI çok yüksektir.” } }, { “@type”: “Question”, “name”: “Monorepo yapılarda SCA nasıl çalışır?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “Modern SCA araçları Lerna, Nx, Turborepo gibi monorepo araçlarıyla native çalışır. Her workspace ayrı taranır ama sonuçlar konsolide edilir. Cross-workspace dependency analysis ile bir workspace’teki açığın diğerlerini nasıl etkilediği gösterilir.” } }, { “@type”: “Question”, “name”: “Docker image’larımı da tarayabilir miyim?”, “acceptedAnswer”: { “@type”: “Answer”, “text”: “Evet, modern SCA araçları container image scanning sunar. Base image vulnerabilities, application dependencies ve embedded binaries taranır. Dockerfile best practice kontrolü yapılır. Kubernetes manifest taraması ile K8s config hataları da tespit edilebilir.” } } ] } { “@context”: “https://schema.org”, “@type”: “HowTo”, “name”: “Software Composition Analysis (SCA) Nasıl Yapılır”, “description”: “Yazılım bağımlılıklarınızı taramak ve güvenlik açıklarını tespit etmek için adım adım SCA süreci”, “step”: [ { “@type”: “HowToStep”, “name”: “Kod Tabanı ve Manifest Analizi”, “text”: “package.json, pom.xml, requirements.txt gibi manifest dosyaları taranır ve tüm bağımlılıklar envanteri çıkarılır.” }, { “@type”: “HowToStep”, “name”: “Güvenlik Veritabanları ile Eşleştirme”, “text”: “Tespit edilen her paket NVD, GitHub Advisory, Snyk DB gibi kaynaklarla karşılaştırılır, CVE ve CVSS skorları hesaplanır.” }, { “@type”: “HowToStep”, “name”: “Lisans Taraması ve Uyumluluk”, “text”: “Her paketin lisansı tespit edilir, GPL/MIT/Apache gibi lisans uyumsuzlukları ve yasal riskler raporlanır.” }, { “@type”: “HowToStep”, “name”: “Risk Skoru ve Önceliklendirme”, “text”: “CVSS ve EPSS skorları hesaplanır, kritik > yüksek > orta > düşük önceliklendirmesi yapılır ve remediation roadmap oluşturulur.” }, { “@type”: “HowToStep”, “name”: “Remediation ve Auto-fix Önerileri”, “text”: “Her açık için patch edilmiş güvenli versiyon önerilir, otomatik pull request oluşturulabilir.” }, { “@type”: “HowToStep”, “name”: “Sürekli İzleme ve Bildirimler”, “text”: “CI/CD entegrasyonu ile her commit’te otomatik tarama, yeni CVE’ler için real-time bildirim gönderilir.” } ] }