Hazırlayanlar: Şevval Kanberoğlu ve Çağrı Ceyhan
1)DevSecOps Nedir?
1.1. DevSecOps’un Tanımı ve Ortaya Çıkışı
- Klasik DevOps’un sınırları;
DevSecOps terimini açıklayabilmek için öncelikle DevOps’un ne anlama geldiğini bilmek gerekir. DevOps, IT (ınformation Technologies) departmanının iki ana bileşeni olan geliştirme(develop) ve operasyon(operations) birimlerinin beraber çalışmasıdır ve yazılım geliştirme yaşam döngüsü(SDLC) boyunca devam eden bir süreç bileşenidir. Bu çalışma sürecin yürütülmesi ve denetlenmesini aynı anda mümkün kılar.
Ancak bu yapının en büyük zafiyeti ürünün güvenlik tarafındaki gereksinimleri hep en son basamak olarak bırakılmasıydı.
- Güvenliğin geç eklenen bir adım olmaktan çıkması gerektiği fikri;
DevOps sürecinde güvenlik, ürün üretim sürecinin en son adımında yer almaktaydı. Bu sebeple ürünün güvenlik tarafındaki açıkları, eksiklikleri vb. ürün yayımlandıktan sonra fark ediliyor ve düzenlenmek zorunda kalınıyordu. Bu durum kurumlara mali ve operasyonel yük katıyordu. Bu eksiklikler yeni ürün geliştirmesi tarafını da aksatıyordu. Bundan dolayı güvenlik son kontrol yerine otomatikleştirilip sürecin içerisine yayıldı.
1.2. DevSecOps’un Kapsamı
- CI/CD hattına güvenlik entegrasyonu;
CI/CD(continuous ıntegration/continuous delivery), yazılım geliştirme sürecinde manuel kod dağıtımı yerine otomasyonu benimser ve bu süreci optimize eder. Bu süreç, modern yazılım süreçlerinin ana fikridir. CI, kod geliştirme sürecinde her yazılan adımda kod birleştirme işlemi otomatik testte doğrular ve bu sayede yazılım geliştirme sürecinde hatalar daha erken fark edilir. CD, CI sonrasında yazılan kod geçici olarak ana kodda denenir ve ana ürün öncesi olası hatalar daha çabuk test edilir. Bu adıma Delivery(teslimat) denir. Diğer bir kavram deployment(dağıtım), son adımın otomatikleştirilmesi ile oluşturulur. Kurumlar risk toleransyonuna, test kapsamlarına vs. göre bu iki kavramdan birini benimserler.
- “Shift left security” yaklaşımının anlamı;
Shift left security, verilen isim dolayısıyla güvenliği sola yani başa kaydırır. Bu da önceden kullanılan tüm testi bitirelim en son güvenlik kalsın anlayışının aksine güvenlik basamağını ürün üretim sürecinin; tasarım, kod geliştirme, commit/push sırasında ve CI/CD adımlarının erken adımlarına da ekler. Bu süreç güvenlik açıklarının daha kolay tespit edilmesini ve bu sayede düzeltme sürecinin daha kısa sürede tamamlanmasına olanak sağlar.
Shift left security, DevSecOps kültürün yapı taşlarından biridir.
1.3. DevSecOps ve DevOps Arasındaki Temel Farklar
- Güvenlik ekiplerinin dahil edilme şekli;
DevOps kültüründe güvenlik basamağı tüm ürün üretim ve test süreçlerinin sonunda gerçekleştiriliyordu. Bu yöntem sebebiyle herhangi bir açık bulunduğunda bunu kapatmak hem fazla zaman kaybına hem de pahalı düzeltmelere yol açıyordu. Bunun aksine DevSecOps güvenliği üretimin her adımına yerleştirerek hatanın bulunma süresini azaltıyor, buna bağlı olarak da sonraki üretimi aksatmıyor.
2) Neden DevSecOps’a İhtiyaç Duyarız?
2.1. Artan Siber Tehditlerin Etkisi
- Modern uygulamalarda saldırı yüzeyinin büyümesi;
Modern dönemin yazılım mimarileri daha dinamik ve parçalı bir yapıya ulaştı. Bu durum kurumlara hız ve esneklik kazandırırken olası saldırılar için de birçok farklı kapı aralıyor. Bu tarz durumlarda geleneksel güvenlik yöntemleri yetersiz kalmakta. DevSecOps’a tam olarak bu duruma uygun olduğundan ihtiyaç duyuyoruz. Shift left security, otomatikleştirilmiş test ve tarama, her üretim ve geliştirme adımında sağlanan geri dönüş dinamik saldırılara karşı dinamik bir koruma döngüsü sağlamakta.
- Supply chain saldırılarındaki artış;
Supply chain saldırısında, saldırgan direkt uygulamayı değil uygulamanın yaralandığı tedarik ögelerine saldırır. Bu durumda tek bir yanlış girdi, paket, pipeline tüm sistemin dengesini bozabilir. DevSecOps, süreç boyunca tüm adımları otomatik denetleme ve geri bildirim yapar. Bu sayede bu saldırının sürecin hangi kısmına etki ettiğini erkenden fark ederek olası zararları minimuma indirir.
2.2. Geliştirme Süreçlerindeki Hız Baskısı
- DevOps’un hızlı teslimat anlayışının riskleri;
Oluşturulma biçimi sebebiyle DevOps’un hızlı teslimat anlayışı, sürekli üretim, sürekli entegrasyon ve geri dönüş adımlarını içermektedir. Bu hız anlayışının oluşturduğu riskler de kontrol mekanizması yeterince gelişmemiş sistemlerde büyük zarara yol açar. Örneğin bir an önce yetiştirme amacı ile oluşan bir ekip hatası aynı şekilde çabuk yetişsin diye ertelenen güvenlik kontrolleri yetiştirilmeye çalışılan bu iş saldırılmaya açık bir yüzey oluşturur.
2.3. Güvenlik ve Geliştirme Ekipleri Arasındaki Kopukluk
- DevSecOps’un işbirliği sorununu çözmesi;
DevSecOps yapısı gereği geliştirme, denetleme ve güvenlik departmanlarının tüm süreçte aktif rol alması ile oluşturulan bir yöntemdir. Güvenliğin sona bırakılması ile oluşacak aksaklık ve mali zararları, geliştirme sonucunda denetlenmemenin yaratabileceği eksiklik ve hatalar yığınını engellemesi bu yöntemin süreç boyunca neden kullanıldığını açıklıyor.
3)DevSecOps’un Temel İlkeleri
3.1. Otomasyonun Merkezde Olması
- Manuel güvenlik süreçlerinin azaltılması, SAST, DAST, SCA araçları;
SAST: Kaynak kodu analiz ederek güvenlik açıklarını tespit eden bir yöntemdir. Yazılım geliştirme sürecinin erken aşamalarında kullanılır ve kodun yazıldığı veya derlendiği her noktada çalıştırılır. Erken müdahale, güvenlik açıklarının giderilmesi için gereken maliyet ve zaman kaybını önemli ölçüde azaltır.
DAST: Uygulama çalışırken gerçekleştirilen güvenlik testleridir. Bu yöntem, uygulamanın dinamik davranışını analiz ederek güvenlik açıklarını tespit eder. Özellikle web uygulamaları için yaygın olarak kullanılan DAST, saldırganların uygulamaya nasıl erişebileceğini anlamaya çalışır.
SCA: Yazılımın bağımlılıklarını ve bileşenlerini analiz eder. Açık kaynak kütüphaneler ve üçüncü parti bileşenler, yazılım geliştirme sürecinde sıkça kullanılır ve bu bileşenlerdeki güvenlik açıkları ciddi riskler oluşturabilir. SCA araçları, bu bileşenlerin güncel olup olmadığını ve bilinen güvenlik açıklarına karşı korunup korunmadığını kontrol eder.
— Bu araçlar sürecin azalmasında kullanılan en temel araçlardır–
3.2. Sürekli İzleme ve Geri Bildirim
- Log yönetimi;
Loglar, güvenlik açıklarını ve anormal aktiviteleri tespit etmek için analiz edilir. Aynı zamanda yasal gerekliliklere uyumu sağlamak ve denetim süreçlerinde kanıt sunmak için de kullanılır. Bu durum yeni ürün süreçlerinde geliştirilmesi gereken yerlerin tespitinde yarar gösterir. Log analizi, sistemin performansını optimize etmeye yardımcı olur.
- Anormallik tespit mekanizmaları (SIEM, IDS/IPS vb.);
IDS: Paketler ve ağ istilasının olası devamı için ağ trafiğini analiz eder. Daha sonra sistem bilinen tehditleri ve zafiyetleri işaretler.
IPS: IPS sistemi, bir güvenlik duvarı ile aynı alanda; dahili ağ ile dış internet arasında yer alır. IDS tehdit olarak aldığı şeyi işaretlerken IPS kötü niyetli trafiği reddeder ve paket gönderimini keser.
SIEM: Bilgi güvenliği yönetimi ve durum güvenliği yönetimi teknolojilerinin birleşimidir. SIEM’in temel amacı güvenlik ile ilgili tüm bilgileri takip ve analiz ederek toplamaktır. Hep tespit hem de duruma uygun korumayı/aksiyonu sağlar.
4) Erken Aşama Güvenlik Yaklaşımı
Geleneksel yazılım geliştirme süreçlerinde güvenlik genellikle projenin sonuna bırakılır. Kod tamamlandıktan, testler yapıldıktan ve ürün yönetim ortamına alınmadan önce güvenlik kontrolleri yapılır. Bu yaklaşım, çoğu zaman güvenlik açıklarının tespit edilmesini geciktirir ve düzeltme maliyetlerini yükseltir.
Erken aşama güvenlik yaklaşımı, güvenliği yazılım geliştirme sürecinin başına taşır. Yani, kod yazımından tasarım aşamasına, hatta fikir aşamasına kadar güvenlik perspektifi entegre edilir. Bu yaklaşımın temel avantajı, sorunlar büyümeden, sistemin temel yapı taşlarıyla birlikte ele alınabilmesidir. Sonuç olarak hem zaman hem de kaynak tasarrufu sağlanır; güvenlik, ürünün sonradan eklenen bir zorunluluk değil, doğal bir parçası haline gelir.
Bu yaklaşım aynı zamanda ekipler arası sorumluluk paylaşımını da güçlendirir. Geliştiriciler, güvenliği bir engel olarak değil, proje başarısının kritik bir boyutu olarak görür. Test ekipleri ve operasyon ekipleri de güvenlik önlemlerini baştan dahil ederek sürprizlerle karşılaşma riskini azaltır. Özet olarak erken aşama güvenlik yaklaşımı, yazılım geliştirme sürecinde güvenliğin bir lüks değil, temel bir gereklilik olduğunu kabul eden stratejik bir bakış açısıdır.
5) Klasik Yazılım Modellerinin Güvenlik Açıkları
Geleneksel yazılım geliştirme modelleri, özellikle şelale (Waterfall) yaklaşımı gibi lineer süreçler, güvenliği genellikle projenin sonuna bırakır. Kod yazılır, test edilir ve ürün üretim ortamına alınmadan önce güvenlik kontrolleri uygulanır. Bu yöntem, güvenlik açısından ciddi riskler barındırır. Çünkü güvenlik sorunları genellikle sistemin temel yapısında ortaya çıkar ve son aşamada tespit edildiğinde, düzeltme maliyeti çok yüksek olur.
Klasik modellerde, güvenlik testleri genellikle manuel ve süreçten bağımsız yürütülür. Bu durum, hataların gözden kaçmasını kolaylaştırır ve tekrar eden güvenlik açıklarına neden olur. Modern siber tehditlerin hızla evrildiği günümüzde, bu tür eksiklikler; sadece teknik bir sorun değil, aynı zamanda iş ve finansal risk yaratır.
Klasik süreçlerde pek çok risk ortaya çıkabilmektedir. Bunların bazıları şunlardır:
5.a) SQL Enjeksiyonu: Kullanıcı girişleri doğrudan veri tabanına gönderildiğinde saldırganlar zararlı SQL komutları enjekte edebilir. Bu durum, veritabanındaki hassas bilgilerin çalınmasına, değiştirilmesine veya silinmesine yol açar.
5.b) Cross-Site Scripting (XSS): Web uygulamalarında kullanıcıya sunulan içerikler kötü niyetli komutlarla manipüle edilebilir. Bu sayede saldırganlar çerez bilgilerini çalabilir veya sahte girişler oluşturabilir.
5.c) Kimlik Doğrulama ve Yetkilendirme Zafiyetleri: Kullanıcı yetkileri doğru yönetilmezse, yetkisi olmayan kişiler kritik verilere erişebilir veya işlemler gerçekleştirebilir. Bu durum, hem veri güvenliğini hem de sistemin bütünlüğünü tehlikeye atar.
5.d) Güvenli Olmayan API Kullanımı: API’ler yeterince güvenlik testine tabi tutulmazsa, saldırganlar sistemi kötüye kullanabilir veya hassas verilere erişebilir.
5.e) Servis Dışı Bırakma (Denial of Service, DoS): Sistem yoğun trafik altında test edilmezse, saldırganlar aşırı yük göndererek hizmeti yavaşlatabilir veya tamamen durdurabilir.
6-) DevSecOps Olmazsa Ne Olur?
Modern yazılım geliştirme ekosistemi; hız, çeviklik ve sürekli teslimat beklentileri üzerine inşa edilmiş durumda. Bu denklemin içerisinde güvenliğin sürece entegre edilmemesi, yalnızca operasyonel bir zafiyet değil; doğrudan iş sürekliliğini, marka itibarını ve kurumsal sürdürülebilirliği tehdit eden bir unsurdur. DevSecOps’un yokluğu, kurumlara reaktif davranmaya zorlayan, maliyetleri artıran ve risk yönetimini karmaşık hale getiren bir tablo ortaya çıkarır.
Güvenlik Tüm süreç İçerisinde Olmalı:
DevSecOps yaklaşımı benimsenmediğinde güvenlik, süreç boyunca doğal bir akış unsuru olmaktan çıkar ve projenin son aşamalarına sıkıştırılan bir kontrol adımı haline gelir. Bu durum, güvenliği sorun ortaya çıktıktan sonra müdahale edilen bir operasyon biçimine döndürür. Bu nedenle zaman yönetimi bozulur, geriye dönük düzeltme maliyetleri yükselir, teslimat planları sekteye uğrar.
Üretim Ortamına Risk Taşınması:
Sürecin erken safhalarında ele alınmayan güvenlik gereksinimleri, fark edilmesi güç açıkların üretim ortamına taşınmasına yol açar. Yalnızca teknik bir problem değil, kurumun operasyonel bütünlüğü ve müşteri güveni için doğrudan tehdit oluşturur.
Ekipler Arası İş Birliği:
DevSecOps’un yokluğunda geliştirme, operasyon ve güvenlik ekipleri arasında bütünleşik bir çalışma modeli oluşmaz. Her ekip kendince sorumluluk alır; bu da operasyonel uyumsuzluk ve iletişim kırılmalarına neden olur.
Ürün Kalitesi ve Müşteri Güveni :
Güvenlik sorunlarının sahada ortaya çıkması, yalnızca teknik bir aksamayı değil; kullanıcı güveninin zedelenmesini de beraberinde getirir.
Sonuç olarak DevSecOps, günümüz koşullarında kurumlar için bir tercih değil; iş sürekliliği, güvenlik olgunluğu ve kurumsal dayanıklılık açısından temel bir zorunluluktur. Bu yaklaşım uygulanmadığında; güvenlik zayıflar, operasyon yavaşlar, risk büyür, maliyet artar, itibar zarar görür.
Kısacası DevSecOps’un yokluğu, kurumun tüm dijital varlıklarını daha kırılgan ve yönetilemez bir hale getirir.
Kaynakça
https://www.irfankocak.com/devsecops-nedir
https://www.beyaz.net/tr/yazilim/makaleler/devsecops_nedir.html
https://aws.amazon.com/tr/devops/what-is-devops
https://www.datamarket.com.tr/sozluk/devsecops
https://bluemarkacademy.com/guvenli-yazilim-nedir-nasil-gelistirilir-nelere-dikkat-edilmesi-gerekir/
https://www.hosting.com.tr/blog/devsecops/
https://www.oracle.com/tr/application-development/what-is-devops
https://www.microsoft.com/tr-tr/security/business/security-101/what-is-devsecops
https://medium.com/nettsi/devsecops-nedir-12d4105cb9e2
https://www.oracle.com/tr/application-development/what-is-devops
https://www.securefors.com/ci-cd-pipeline-araclari-devops-sureclerinde-guvenlik/
https://www.securefors.com/guvenli-yazilim-gelistirme-yaklasimlari-ve-araclari/
https://www.bitlyft.com/resources/ids-vs-ips-vs-siem
https://www.turk.net/blog/siem-nedir/?ysclid=mip2nqvt5b924230154
Görsel Kaynakları: Bu blog yazısında kullanılan görsellerde, Google’ın yapay zeka aracı Gemini kullanılmıştır.
