Fortify ile kaynak kod analizi, uygulama çalıştırılmadan önce kod tabanını inceler; veri akışını, kontrol akışını ve güvenli kodlama ihlallerini satır seviyesinde görünür hale getirir.
Bu çalışma araç raporu üretme işi değildir. Banka, ödeme kuruluşu, sigorta, SaaS ve kamu tedarik zinciri projelerinde kodun nerede risk ürettiğini bulur, geliştiriciye düzeltilecek noktayı gösterir, yönetim ve denetim ekibine kanıtlanabilir çıktı veririz.
Nesil Teknoloji, Fortify SAST analizlerini lisanslı araç altyapısı ve uzman doğrulamasıyla yürütür.
Bankalar, finansal teknoloji şirketleri ve kurumsal yazılım ekipleri için kaynak kod güvenliği çalışmaları yapıyoruz.
Yönetici özeti, teknik rapor, Fortify çıktısı, false positive gerekçesi ve retest sonucunu ayrı teslim ederiz.
Fortify ile kaynak kod analizi nedir?
Kaynak kod güvenliği, üretimde açık yakalandıktan sonra yapılan düzeltmeden daha erken başlar. Kod yazılırken.
Fortify Static Code Analyzer, OpenText tarafından geliştirilen bir SAST aracıdır. SAST, Static Application Security Testing anlamına gelir. Uygulamayı çalıştırmadan kaynak kod, konfigürasyon ve bağımlı yapılar üzerinden güvenlik analizi yapar.
Fortify kodu derleyici mantığına yakın şekilde işler. Veri akışını, kontrol akışını, yapısal kalıpları ve güvenli kodlama ihlallerini analiz eder. Amaç ekrana uzun bir bulgu listesi dökmek değildir; riskin kod içinde nerede üretildiğini göstermektir.
Kullanıcıdan gelen veri doğrulanmadan SQL sorgusuna giriyorsa, Fortify bu akışı takip eder. Girdi nereden geliyor, hangi fonksiyondan geçiyor, hangi noktada veritabanına ulaşıyor, bunu bulguya bağlar. Geliştirici için gerçek değer burada başlar.
Neden yalnızca araç çalıştırmak yetmez?
Fortify iyi yapılandırıldığında ciddi görünürlük sağlar. Yanlış yapılandırıldığında eksik tarama yapar, gereksiz bulgu üretir veya geliştirme ekibini yanlış önceliklerle uğraştırır.
Build komutları, framework yapısı, dependency yönetimi, environment değişkenleri ve modül kapsamı doğru verilmeden alınan tarama güvenilir değildir. Banka projelerinde bu hata pahalıya çıkar.
Biz taramanın kapsadığı modülleri kontrol ederiz. Sonra bulguları tek tek sınıflandırırız. Her high bulgu gerçek istismar riski değildir. Her medium bulgu da ertelenmez.
Ayrımı uzman yapar.
Hangi açıkları tespit ederiz?
Fortify ile kaynak kod analizinde OWASP Top 10, MITRE CWE Top 25 ve kurumun güvenli kodlama standartlarını birlikte kullanırız. Finans ekiplerinde yalnızca web açıklarına bakmak yetmez; batch işler, API servisleri, entegrasyon katmanları, mobil uygulama kodu ve eski teknoloji bileşenleri aynı haritaya girer.
- SQL Injection, Command Injection, LDAP Injection
- Cross-Site Scripting ve output encoding hataları
- Kimlik doğrulama ve yetkilendirme kontrollerindeki eksikler
- Hard-coded parola, API anahtarı ve token kullanımı
- Güvensiz kriptografi, zayıf algoritma ve hatalı anahtar yönetimi
- Path Traversal, SSRF, açık yönlendirme ve dosya işleme hataları
- Hassas verinin loglara, hata mesajlarına veya response gövdelerine yazılması
- Mobil uygulamalarda sertifika doğrulama, local storage ve tersine mühendislik riskleri
Bulgunun adı tek başına karar verdirmez. Veri akışı, erişilebilirlik, istismar şartı ve iş etkisi birlikte okunur.
Bankalar için Fortify neden doğru yerde durur?
Bankacılık yazılımları sık sürüm döngüsü, çoklu entegrasyon ve denetim baskısıyla geliştirilir. Kodun güvenli olması yetmez. Güvenli olduğunun gösterilmesi gerekir.
Fortify burada kayıt üretir. Hangi uygulamanın ne zaman tarandığı, hangi bulgunun hangi dosya ve satırda oluştuğu, hangi risk seviyesinde değerlendirildiği ve hangi ekip tarafından kapatıldığı izlenir.
Bu kayıt BDDK, iç denetim, bilgi güvenliği ve yazılım ekipleri arasında ortak dil kurar. Ham araç çıktısı bu dili kuramaz.
| İhtiyaç | Fortify katkısı | Nesil Teknoloji yorumu |
|---|---|---|
| Denetlenebilir güvenli kod süreci | Tarama tarihi, bulgu kaydı, risk seviyesi ve kapanış durumu üretir. | Çıktıyı yönetici özeti ve teknik aksiyon planı olarak ayırırız. |
| Geliştiriciye net düzeltme | Dosya, fonksiyon, satır ve veri akışı üzerinden bulguyu gösterir. | False positive ayrıştırması yapar, istismar edilebilir bulguyu öne alırız. |
| CI/CD içinde güvenlik eşiği | Pipeline entegrasyonu ile yeni bulguların takibini destekler. | Eşik değerlerini ekip olgunluğuna göre kurarız. Yanlış eşik geliştirmeyi kilitler. |
Süreci nasıl yürütüyoruz?
İlk adımda uygulamanın teknoloji yığınını çıkarıyoruz. Java, .NET, JavaScript, TypeScript, Python, PHP, Go, C/C++, ABAP, COBOL veya mobil kod tabanı fark etmez; analiz planını derleme yapısı, framework ve repo düzenine göre kuruyoruz. OpenText güncel Fortify SAST sayfasında 44+ dil ve 350+ framework desteği bildiriyor.
Sonra erişim modelini belirliyoruz. Kaynak kod kurum dışına çıkmayacaksa yerinde çalışma, kapalı ağ, VPN veya geçici repo erişimiyle ilerliyoruz. Banka projelerinde bu madde rapordan önce gelir.
Uygulama, modül, branch, build komutu, teknoloji yığını ve tarama dışı bırakılacak alanlar netleşir.
Fortify SCA çalıştırılır. Taramanın kapsadığı modüller ve analiz çıktısının bütünlüğü kontrol edilir.
Bulgular false positive, exploitable, teknik borç, standart ihlali ve hızlı kapatılabilir aksiyon olarak ayrılır.
Teknik ekip için satır bazlı rapor, yönetim için risk özeti, kapanış için doğrulama çıktısı hazırlanır.
Teslim ettiğimiz çıktılar
Aynı rapor yönetim kuruluna ve geliştiriciye aynı faydayı vermez. Bu yüzden teslim setini ayırıyoruz.
- Yönetici özeti ve risk tablosu
- Fortify FPR çıktısı veya kurumun talep ettiği teknik format
- CWE, OWASP ve CVSS eşleştirmeleri
- Dosya, sınıf, fonksiyon ve satır seviyesinde bulgu detayları
- False positive kayıtlarının gerekçesi
- Geliştiriciye yönelik düzeltme önerileri
- Kapanış sonrası doğrulama testi
- Denetim için saklanabilir kanıt paketi
Kaynak kod analizi ile sızma testi aynı iş değildir
Sızma testi çalışan uygulamayı saldırgan bakışıyla test eder. Fortify kaynak kod analizi açığın kod içinde nerede üretildiğini gösterir.
İkisi aynı riske farklı yerden bakar. Sızma testi istismar edilebilir yüzeyi gösterir. Fortify kök nedeni bulur. Bu ikili birlikte kullanılmadığında güvenlik ekibi semptomu kapatır, geliştirme ekibi aynı hatayı sonraki sprintte yeniden üretir.
Regüle kurumlarda bu döngü kabul edilemez.
DevSecOps entegrasyonu
Fortify analizini tek seferlik denetim aktivitesi olarak bırakmıyoruz. Kurumun ihtiyacına göre GitLab, Jenkins, Azure DevOps veya benzer CI/CD hatlarına bağlanacak modeli kuruyoruz.
Eşik değerleri açık yazılır. Yeni high bulgu oluştuğunda pipeline durur. Eski teknik borç ayrı backlog altında izlenir. Takım olgunlaşana kadar tüm bulguları bloklayıcı yapmak yanlış karardır.
Bu disiplin yazılım ekibini yavaşlatmaz. Yanlış kural seti yavaşlatır.
KVKK ve regülasyon tarafı
KVKK m.12 veri sorumlusuna kişisel verilerin hukuka aykırı erişime karşı korunması için teknik ve idari tedbir alma yükümlülüğü getirir. Kaynak kod analizi bu yükümlülüğün teknik kanıtlarından biridir.
Müşteri verisi, ödeme verisi, sağlık verisi veya çalışan verisi işleyen uygulamalarda güvenli kodlama kontrolü kağıt üzerinde kalamaz. Kodda hassas veriyi loglayan, yetkisiz erişime açık endpoint bırakan veya zayıf kriptografi kullanan uygulama denetimde açık verir.
Fortify raporu burada somut kayıt üretir. Uygulama adı, tarama tarihi, bulgu listesi, kapatma durumu ve doğrulama sonucu dosyalanır.
Nesil Teknoloji yaklaşımı
Nesil Teknoloji olarak Fortify ile kaynak kod analizini lisanslı araç, uzman incelemesi ve regülasyon pratiğiyle yürütüyoruz. Bankalara ve kurumsal firmalara yaptığımız çalışmalarda hedefimiz bulgu sayısını artırmak değildir. Gerçek riski görünür kılarız.
Güvenli kod denetimi netlik ister. Hangi bulgu üretim riskine dönüşür, hangisi teknik borçtur, hangisi standart ihlalidir; bunu ayırmayan rapor geliştirme ekibine yük olur.
Biz raporu aksiyona dönüştürürüz.
Fortify kaynak kod analizi için kapsam çıkaralım
Uygulama dili, repo yapısı, build süreci, CI/CD hattı ve denetim beklentisini birlikte netleştirelim. İlk görüşmede tarama kapsamını ve çıktı setini belirleriz.
Kaynak kod analizi görüşmesi isteyinSık sorulan sorular
Fortify kaynak kodu dışarı çıkarır mı?
Çalışma modelini proje başında belirleriz. Kurum politikasına göre yerinde, kapalı ağda veya kontrollü erişimle analiz yürütürüz.
Fortify tek başına güvenli yazılım sağlar mı?
Hayır. Fortify analiz aracıdır. Güvenli yazılım için uzman doğrulaması, güvenli geliştirme standardı, sızma testi ve kapanış kontrolü gerekir.
Hangi dillerde analiz yapılır?
Fortify SAST; Java, .NET, JavaScript, TypeScript, Python, PHP, Go, C/C++, ABAP, COBOL ve farklı kurumsal teknolojilerde geniş kapsama sahiptir. Proje başlamadan dil, framework ve build yapısını doğrularız.
Rapor geliştiriciye ne kazandırır?
Geliştirici yalnızca açık var bilgisini almaz. Bulgunun dosyasını, satırını, veri akışını ve düzeltme yaklaşımını görür. Bu fark kapanış süresini azaltır.
Denetim için uygun çıktı üretiyor musunuz?
Evet. Yönetici özeti, teknik rapor, risk sınıflandırması, kapatma durumu ve doğrulama çıktısını ayrı hazırlarız.

