KURUMSAL EĞİTİM, DEVSECOPS YÜKSEK GÜVENLİKLİ YAZILIM GELİŞTİRME

DEVSECOPS — GÜVENLİ YAZILIM GELİŞTİRME VE OTOMATİK GÜVENLİK PİPELINE EĞİTİMİ

2021'de yayımlanan Verizon DBIR raporuna göre, güvenlik ihlallerinin %61'i kimlik bilgisi saldırıları ve yazılım açıklarından kaynaklanmaktadır. Ancak geleneksel güvenlik yaklaşımında güvenlik testleri yazılım geliştirme sürecinin en sonuna bırakılır; bir güvenlik açığını production'da bulmak, geliştirme aşamasında bulmaktan ortalama 30 kat daha maliyetlidir. DevSecOps bu denklemi tersine çevirir: Güvenliği bir son kontrol noktası olmaktan çıkarır, her commit'in doğal parçası haline getirir. "Shift-left" felsefesi sadece test zamanını erkene almak değildir; güvenliği geliştiricinin günlük iş akışına, CI/CD pipeline'ına ve altyapı koduna gömmektir.

Bu eğitim, DevSecOps'u kuruluşunuzda uygulamaya koymak için gereken tüm teknik katmanları kapsar: Güvenli kodlama ve tehdit modelleme, SAST/DAST/SCA/IAST tarama araçları ve CI/CD entegrasyonu, container ve Kubernetes güvenliği (Trivy, Falco, OPA/Gatekeeper, cosign), IaC güvenliği (checkov, tfsec), secret management (HashiCorp Vault, OIDC), Zero Trust, bulut güvenliği ve uyumluluk otomasyonu (Compliance-as-Code).

Dokuz modüle yayılan program; DevSecOps kültürü ve güvenlik olgunluk modelinden güvenli SDLC ve tehdit modellemesine, tüm güvenlik tarama türleri ve pipeline entegrasyonundan container/Kubernetes güvenliğine, IaC güvenliği ve secret management'tan Zero Trust ve bulut güvenliğine, SIEM/izleme ve olay müdahalesinden Compliance-as-Code ve uyumluluk yönetimine kadar uzanır.

Eğitim; CI/CD pipeline'ına güvenlik eklemek isteyen DevOps mühendisleri, güvenli yazılım geliştirme pratiği kazanmak isteyen kıdemli yazılım geliştiriciler, güvenliği geliştirme sürecine entegre etmek isteyen uygulama güvenliği uzmanları ve container/cloud altyapısını güvenli yönetmek isteyen platform mühendisleri için tasarlanmıştır.

EĞİTİM HEDEFİ

Bu eğitimin temel hedefi, katılımcılara DevSecOps'u bir araç listesi olarak değil, geliştirme sürecinin her katmanına gömülü bir güvenlik disiplini olarak kavratmaktır. Eğitim sonunda katılımcılar; SDLC'nin her aşamasında (design, code, build, test, deploy, operate) güvenlik kontrollerini konumlandırır ve shift-left maliyetini somut veriyle savunur. STRIDE metodolojisi ile tehdit modelleme yapar; DFD (Data Flow Diagram) üzerinden saldırı yüzeyini analiz eder ve CVSS skoru ile risk önceliklendirme yapar. OWASP Top 10 ve OWASP ASVS (Application Security Verification Standard) gereksinimlerini kod review süreçlerine entegre eder; SQL Injection, XSS, CSRF, SSRF, XXE, Insecure Deserialization ve Broken Access Control güvenlik açıklarını kaynak kodda tespit eder ve giderir. SonarQube ve Semgrep (SAST) ile kaynak kod güvenlik analizi yapılandırır; Quality Gate ile kritik güvenlik açığı bulunan kodu otomatik bloklar. Snyk ve Dependabot (SCA) ile bağımlılık güvenlik açıklarını tarar; SBOM (Software Bill of Materials) üretir ve yönetir. OWASP ZAP ile çalışan uygulamaya aktif DAST taraması yapar ve CI/CD'ye entegre eder. Gitleaks ve TruffleHog ile secret scanning uygular; pre-commit hook ile commit öncesi tarama kurar. HashiCorp Vault ile dynamic secret, lease yönetimi ve PKI sertifika otomasyonu uygular; Kubernetes'te OIDC ile secretsiz kimlik doğrulama kurar. Trivy ile container image ve filesystem güvenlik taraması yapar; Grype ile CVE tabanlı güvenlik açığı analizi uygular; Falco ile çalışma zamanı container davranışını izler ve alert üretir. OPA/Gatekeeper ile Kubernetes admission control politikası yazar ve privilege escalation, hostNetwork, root container gibi ihlalleri engeller. cosign ile container image imzalar ve Sigstore supply chain güvenliği uygular; SLSA framework ile yazılım tedarik zinciri bütünlüğünü güvence altına alır. checkov ve tfsec ile IaC güvenlik açıklarını tarar; Terraform cloud kaynaklarında açık S3 bucket, geniş IAM politikası ve şifrelenmemiş disk gibi yanlış yapılandırmaları tespit eder. AWS Security Hub, Azure Defender ve CSPM araçları ile cloud güvenlik duruşunu yönetir; IAM en az yetki ilkesini uygular. Wazuh veya Elastic SIEM ile güvenlik olaylarını merkezi olarak toplar, korelasyon kuralı yazar ve alert üretir; security incident playbook hazırlar ve tatbikat yapar. Open Policy Agent (OPA) ile Compliance-as-Code politikası yazar; SOC 2, PCI-DSS ve ISO 27001 gereksinimlerini otomatik kontrol eder.

EĞİTİM İÇERİĞİ

MODÜL 1: DEVSECOPS KÜLTÜRÜ VE GÜVENLİK OLGUNLUK MODELİ

• DevSecOps'un Kökeni ve "Shift-Left" Felsefesi: Geleneksel güvenlik — "güvenlik kapıcısı" modeli ve maliyeti; shift-left — güvenlik açığının ne kadar erken bulunursa maliyetin ne kadar düşeceği (IBM NIST araştırması); DevSecOps vs DevOps farkı — güvenlik ekibinin "güvenlik polis"den "güvenlik ortağı"na dönüşümü; "security as code" ve "security by design" kavramları; OWASP DevSecOps Guideline ve NIST SSDF (Secure Software Development Framework).
• Güvenlik Olgunluk Modelleri: BSIMM (Building Security In Maturity Model) — sektörel karşılaştırma; OWASP SAMM (Software Assurance Maturity Model) — 5 iş fonksiyonu ve olgunluk seviyeleri; organizasyonel güvenlik değerlendirme — mevcut seviye tespiti; security champion programı — her geliştirme ekibinde güvenlik temsilcisi yetiştirme; AppSec eğitimini gamification ile ölçeklendirme.
• DevSecOps Pipeline Haritası: Plan → Code → Build → Test → Release → Deploy → Operate → Monitor her aşamasında konumlanan güvenlik kontrolleri; pre-commit hook (secret scan, lint), CI build (SAST, SCA), staging (DAST, pentest), production (runtime defense, SIEM) katmanları; güvenlik kontrol noktası (security gate) tasarımı — kritiklik eşiği ve build kırma kararı; yanlış pozitif yönetimi ve waiver süreci.
• Tehdit Modelleme ve Risk Analizi: STRIDE metodolojisi — Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege; DFD (Data Flow Diagram) ile saldırı yüzeyi haritalama; PASTA (Process for Attack Simulation and Threat Analysis); CVSS v3.1 skoru — Base, Temporal, Environmental metrik hesaplama; risk önceliklendirme — exploitability, iş etkisi ve maruz kalma süresi; threat modeling aracı: OWASP Threat Dragon, IriusRisk.
• Hands-on Workshop: Bir e-ticaret API'si için STRIDE ile tehdit modeli oluşturma; DFD çizimi ve güven sınırı tanımlama; CVSS hesaplayıcı ile 5 güvenlik açığını puanlama, önceliklendirme ve iyileştirme önerisi; OWASP SAMM değerlendirme anketi ile mevcut organizasyon olgunluk skoru.

MODÜL 2: GÜVENLİ KOD GELİŞTİRME VE OWASP

• OWASP Top 10 — Derinlemesine Analiz: A01 Broken Access Control — IDOR, path traversal, privilege escalation tespiti ve önleme; A02 Cryptographic Failures — zayıf şifreleme, hardcoded secret, TLS misconfiguration; A03 Injection — SQL, NoSQL, LDAP, OS command injection — parametrize sorgu ve ORM güvenliği; A04 Insecure Design — threat modeling eksikliği ve güvenli mimari; A05 Security Misconfiguration — default credentials, unnecessary features, verbose error.
• OWASP Top 10 (devam) ve ASVS: A06 Vulnerable Components — SCA entegrasyonu; A07 Auth Failures — session fixation, credential stuffing, MFA eksikliği; A08 Data Integrity Failures — insecure deserialization, CI/CD pipeline bütünlüğü; A09 Logging Failures — güvenlik olayı kaydı eksikliği; A10 SSRF — iç ağ erişim riski ve önleme; OWASP ASVS Level 1/2/3 gereksinimleri ve kod review checklist entegrasyonu.
• Güvenli Kodlama Prensipleri: Input validation — whitelist vs blacklist; output encoding — HTML, JavaScript, URL, SQL encoding; parameterized query ve prepared statement; güvenli parola işleme (bcrypt, Argon2, PBKDF2); kriptografi doğru kullanımı — AES-256-GCM, RSA-OAEP, TLS 1.2/1.3; güvenli rastgele sayı üretimi; güvenli hata mesajı — bilgi ifşası önleme; defense in depth.
• Güvenlik Odaklı Kod İncelemesi: Güvenlik odaklı PR (pull request) review checklist; pair security review döngüsü; güvenlik bug'larını issue tracker'da sınıflandırma (P0-P3); güvenlik debt metriği ve trend izleme; IDE güvenlik eklentileri — SonarLint, Snyk IDE, Checkmarx ONE plugin; kod inceleme yorumunda saldırı örneği ile bağlam verme tekniği.
• Hands-on Lab: DVWA (Damn Vulnerable Web Application) üzerinde SQL Injection, XSS ve IDOR bulma ve düzeltme; güvenli parola hashleme uygulaması — bcrypt ve Argon2 karşılaştırması; JWT imzalama ve doğrulama güvenlik hataları tespiti; güvenlik PR review — kasıtlı 5 güvenlik açığı barındıran kod üzerinde review pratiği.

MODÜL 3: SAST, SCA VE SECRET SCANNING — PIPELINE ENTEGRASYONU

• SAST — Statik Uygulama Güvenlik Testi: White-box analiz — kaynak kod çalışmadan incelenir; SonarQube kurulumu, Quality Gate ve Security Hotspot yönetimi; Semgrep — özel kural yazımı, community ruleset ve taint analizi; Checkmarx ve Veracode kurumsal SAST; dil desteği karşılaştırması (Java, C#, Python, Go, JavaScript); false positive oranı ve teknik borç ayrımı; SAST sonuçlarını Jira veya GitHub Issue'ya otomatik aktarma.
• SCA — Yazılım Bileşen Analizi: Açık kaynak bağımlılığın güvenlik riski — Log4Shell örneği; Snyk ile bağımlılık taraması ve fix PR otomasyonu; Dependabot ile otomatik güvenlik yaması PR; OWASP Dependency-Check; NVD (National Vulnerability Database) ve CVE veri tabanı; EPSS (Exploit Prediction Scoring System) ile exploitable açık önceliği; SBOM (Software Bill of Materials) — CycloneDX ve SPDX formatı; SBOM yönetimi ve tedarik zinciri uyumluluk.
• Secret Scanning ve Pre-commit Güvenlik: Hardcoded secret riskleri — AWS key, DB password, private key, OAuth token; Gitleaks ile Git history taraması ve yeni commit engelleme; TruffleHog ile entropi tabanlı tespit; GitHub Advanced Security secret scanning; git pre-commit hook yapılandırması (husky, pre-commit framework); secret rotation otomasyonu — sızdırılmış anahtarı hızla iptal etme protokolü; OIDC ile secretsiz CI/CD (GitHub Actions → AWS/GCP/Azure).
• Pipeline Entegrasyonu ve Quality Gate Tasarımı: CI/CD'de güvenlik aşamaları — hangi kontrol hangi aşamada; CRITICAL bulgu = build kır, HIGH = uyar, MEDIUM = ticket aç politikası; GitHub Actions SAST+SCA örnek workflow; GitLab CI Security Dashboard; paralel güvenlik job'ları ile pipeline süresi optimizasyonu; baseline dosyası ile mevcut borcu yönetme ve yeni hata engelleme; güvenlik metriklerini Grafana'da görselleştirme.
• Hands-on Lab: SonarQube Quality Gate — CRITICAL bulunan kod'un build'i otomatik bloklaması; Semgrep özel kural yazma — SQL injection pattern tespiti; Snyk ile bağımlılık taraması ve otomatik fix PR; Gitleaks pre-commit hook — sahte AWS key'i commit öncesi engelleme; GitHub Actions OIDC ile secretsiz AWS erişimi.

MODÜL 4: DAST, IAST VE PENETRASyon TESTİ ENTEGRASYONU

• DAST — Dinamik Uygulama Güvenlik Testi: Black-box yaklaşım — çalışan uygulamayı dışarıdan saldırma; OWASP ZAP (Zed Attack Proxy) — aktif ve pasif tarama modu, spider, ajax spider; zap-cli ile CI/CD entegrasyonu; API güvenlik taraması — OpenAPI spec üzerinden otomatik endpoint keşfi; Burp Suite Professional — scanner ve Intruder; Nikto ile web sunucu yapılandırma taraması; DAST için güvenli test ortamı yönetimi — production izolasyonu.
• IAST — İnteraktif Uygulama Güvenlik Testi: White-box ve black-box arasında hibrit yaklaşım; uygulama runtime'ına agent yerleştirme; gerçek trafik altında güvenlik açığı tespiti; Contrast Security ve Seeker IAST araçları; sıfır yanlış pozitif avantajı; IAST'ın SAST ve DAST ile tamamlayıcı kullanımı; RASP (Runtime Application Self-Protection) ile otomatik saldırı engelleme.
• Penetrasyon Testi ve Red Teaming: Pentest metodolojisi — PTES (Penetration Testing Execution Standard); siyah kutu, gri kutu ve beyaz kutu pentest fargı; ağ keşfi (Nmap, Masscan) ve servis parmak izi; web uygulama pentest araçları (Metasploit, sqlmap, wfuzz, ffuf); API pentest — Postman, Swagger fuzzing; Red Team operasyonu — C2 framework (Cobalt Strike) ve lateral movement kavramı; pentest bulgularını güvenlik backlog'a dönüştürme ve CVSS önceliklendirme.
• Fuzzing ve Güvenlik Regresyon Testi: Fuzzing — geçersiz veya beklenmedik input üretme ile crash ve güvenlik açığı keşfi; AFL++, libFuzzer ve Atheris (Python) ile fuzzing; API fuzzing — RESTler ve Dredd; güvenlik regresyon testi — önceki güvenlik açıklarının tekrar oluştuğunu kontrol etme; güvenlik test senaryolarının version control'da tutulması.
• Hands-on Lab: OWASP ZAP ile DVWA ve juice-shop aktif tarama ve rapor üretme; zap-cli GitHub Actions entegrasyonu — staging ortamında otomatik DAST; Nmap ile ağ keşfi ve açık port analizi; sqlmap ile SQL injection testi; pentest bulgusu için güvenlik bug ticket açma ve önceliklendirme.

MODÜL 5: CONTAINER VE KUBERNETes GÜVENLİĞİ

• Güvenli Container Image Oluşturma: Dockerfile güvenlik en iyi pratikleri — non-root user, minimal base image (distroless, Alpine), multi-stage build; hadolint ile Dockerfile linting; image içeriğini minimumda tutma — yalnızca runtime bağımlılıkları; COPY --chown ile dosya sahipliği; Dockerfile secret antipattern — build arg ve ENV'de secret tutmama; .dockerignore ile context minimizasyonu; read-only filesystem ve capability drop.
• Container Image Güvenlik Taraması: Trivy ile image, filesystem, repository ve IaC taraması; Grype ile CVE veritabanı bazlı güvenlik açığı tespiti; Docker Scout ile güvenlik analizi; image içindeki OS paketi ve uygulama bağımlılığı CVE korelasyonu; CI/CD'de image scan — CRITICAL bulunan image'ın registry'e push engelleme; private registry güvenlik politikası; image imzalama — cosign ile Sigstore, keyless signing ve OIDC.
• Kubernetes Güvenlik Sertleştirme (Hardening): CIS Kubernetes Benchmark — kube-bench ile otomatik denetim; Pod Security Admission (PSA) — restricted, baseline, privileged profili; SecurityContext — runAsNonRoot, readOnlyRootFilesystem, allowPrivilegeEscalation=false, capabilities; NetworkPolicy ile pod-to-pod micro-segmentation; RBAC — en az yetki prensibi, ServiceAccount token otomatik mount devre dışı; etcd ve API Server şifreleme ve erişim kontrolü.
• OPA/Gatekeeper ve Falco: OPA (Open Policy Agent) — Rego dili ile politika yazımı; Gatekeeper — Kubernetes admission controller olarak OPA; ConstraintTemplate ve Constraint kaynakları; "privileged container yok", "latest tag yok", "kaynak limiti zorunlu" politika örnekleri; Falco — eBPF tabanlı Kernel seviyesi runtime güvenlik; Falco kuralı yazımı — shell spawn, dosya bütünlüğü, ağ sapması alert'leri; Falco alert'lerini Slack veya PagerDuty'e iletme.
• Hands-on Lab: Trivy ile zafiyetli container image taraması ve kritik CVE tespiti; Gatekeeper ile "root container" deployment engelleme politikası; Falco ile container'dan unauthorized shell spawn alarmı; cosign ile image imzalama ve Kubernetes'te imzasız image'ı reddetme; kube-bench çalıştırma ve CIS uyumluluk raporu.

MODÜL 6: IAC GÜVENLİĞİ VE SECRET MANAGEMENT

• IaC Güvenlik Taraması: Terraform yanlış yapılandırmalar — açık S3 bucket, geniş IAM politikası, şifrelenmemiş disk, güvensiz güvenlik grubu; checkov ile Terraform, CloudFormation, Kubernetes, Dockerfile taraması; tfsec ile Terraform özel kural ve CI entegrasyonu; Snyk IaC ile bulut kaynağı güvenlik analizi; Bridgecrew (Prisma Cloud) ile policy-as-code yönetimi; IaC PR'da güvenlik tarama comment otomasyonu (Atlantis + checkov).
• HashiCorp Vault ile Secret Management: Vault mimarisi — storage backend, seal/unseal, audit device; dynamic secret — Vault'un ihtiyaç anında DB kullanıcısı veya AWS credential üretmesi; lease TTL ve secret rotation; PKI secrets engine ile otomatik TLS sertifika; Kubernetes auth method — pod'un ServiceAccount ile Vault kimlik doğrulaması; Vault Agent ile sidecar injection; Vault namespaces ile çoklu ekip izolasyonu; secret zero problemi ve çözüm stratejileri.
• Cloud Secret Yönetimi ve OIDC: AWS Secrets Manager ve AWS Parameter Store karşılaştırması; Azure Key Vault ile uygulama secret, sertifika ve key yönetimi; GCP Secret Manager; Kubernetes External Secrets Operator (ESO) ile cloud secret'ı Kubernetes Secret'e senkronize etme; OIDC federasyon — GitHub Actions'dan AWS/GCP'ye secretsiz erişim; Workload Identity ile Kubernetes → cloud erişimi; secret rotation playbook tasarımı.
• Hands-on Lab: checkov ile kasıtlı güvenlik açığı barındıran Terraform planı tarama ve CI'da blokaj; HashiCorp Vault kurulumu — dynamic PostgreSQL credential üretme ve TTL; Kubernetes ESO ile AWS Secrets Manager → Kubernetes Secret senkronizasyonu; GitHub Actions OIDC ile AWS'ye secretsiz erişim konfigürasyonu.

MODÜL 7: ZERO TRUST VE BULUT GÜVENLİĞİ

• Zero Trust Mimari Prensipleri: "Never trust, always verify" — çevre güvenliği modelinin çöküşü; Zero Trust'ın beş ilkesi (kimlik, cihaz, ağ, uygulama, veri); BeyondCorp modeli ve Google'ın gerçek dünya uygulaması; mikro segmentasyon — east-west trafik kontrolü; Device posture check — uyumsuz cihaz erişim engelleme; ZTNA (Zero Trust Network Access) vs VPN; Zero Trust olgunluk modeli (CISA ZTMM).
• Kimlik ve Erişim Yönetimi (IAM) Güvenliği: En az yetki prensibi (PoLP) — right-sizing izinleri; AWS IAM Permission Boundary, SCP (Service Control Policy); Azure RBAC ve Managed Identity; GCP Workload Identity Federation; privileged access yönetimi (PAM) — just-in-time erişim (JIT); MFA zorunluluğu ve phishing-resistant MFA (FIDO2/WebAuthn); IAM Access Analyzer ile aşırı izin tespiti.
• Cloud Security Posture Management (CSPM): AWS Security Hub + Config — uyumluluk kuralı ve remediation; Azure Defender for Cloud — secure score ve öneriler; GCP Security Command Center; Wiz, Prisma Cloud ve Orca Security CSPM araçları; cloud misconfiguration — publicly exposed instance, open bucket, unencrypted data; lateral movement riski ve cloud kill chain; multi-cloud güvenlik görünürlüğü.
• Ağ Güvenliği ve mTLS: Service mesh ile mTLS (mutual TLS) — Istio ve Linkerd; sertifika yaşam döngüsü otomasyonu (cert-manager); Kubernetes ağ politikası ile egress kontrolü; WAF (Web Application Firewall) — AWS WAF, Cloudflare; DDoS koruması; API gateway güvenlik katmanı — rate limiting, auth, IP filtering; DNS güvenliği — DNSSEC ve DNS over HTTPS.
• Hands-on Lab: AWS IAM Access Analyzer ile aşırı izinli policy tespiti; AWS Security Hub — CIS benchmark karşılaştırması ve bulgu önceliklendirmesi; cert-manager ile Kubernetes otomatik TLS sertifikası; Istio mTLS ile iki servis arasında mutual TLS doğrulama ve Kiali trafik görselleştirmesi.

MODÜL 8: SIEM, GÜVENLİK İZLEME VE OLAY MÜDAHALESİ

• Güvenlik İzleme Stratejisi ve Log Yönetimi: Güvenlik olayı kaynakları — uygulama log, system log, network flow, cloud trail, container runtime; yapılandırılmış güvenlik log formatı — timestamp, severity, source IP, user, resource, action; OWASP Logging Cheat Sheet — ne loglanmalı, ne loglanmamalı (PII maskeleme); merkezi log toplama — Fluent Bit, Logstash, Fluentd; log bütünlüğü ve tamper detection; log saklama politikası ve yasal gereksinim.
• SIEM ve Güvenlik Korelasyonu: SIEM temel işlevi — log toplama, normalleştirme, korelasyon ve alert; Wazuh (açık kaynak SIEM) — agent, manager, dashboard; Elastic SIEM ve Security Analytics; AWS Security Lake ile multi-source log birleştirme; korelasyon kuralı yazımı — brute force, privilege escalation, data exfiltration pattern; MITRE ATT&CK framework ile saldırı tekniklerini haritalama; threat hunting — hipotez bazlı aktif tehdit arama.
• Incident Response ve Playbook: Güvenlik olay sınıflandırması — P0 (aktif ihlal), P1 (kritik), P2 (yüksek); IR aşamaları — Hazırlık, Tespit, Analiz, Kontrol, Yok Etme, Kurtarma, Eğitim; container ortamında forensics — anlık görüntü alma, log toplama, network yakalama; cloud incident response — CloudTrail analizi, IAM key izleme; otomatik playbook (Shuffle SOAR, PagerDuty); blameless post-mortem formatı ve 5 Neden analizi; MTTD (Mean Time to Detect) ve MTTR güvenlik metrikleri.
• Hands-on Lab: Wazuh kurulumu ve SSH brute force korelasyon kuralı oluşturma; Elastic SIEM ile MITRE ATT&CK haritalı alert dashboard; Falco alert → Slack webhook entegrasyonu; kasıtlı incident senaryosu — şüpheli pod içinden shell açılması: tespit, analiz ve playbook çalıştırma; blameless post-mortem belgesi yazma.

MODÜL 9: COMPLIANCE-AS-CODE, TEDARIK ZİNCİRİ GÜVENLİĞİ VE OLGUNLUK YOLU

• Compliance-as-Code: Uyumluluk gereksinimlerini makine-okunabilir politikaya dönüştürme; OPA ile SOC 2, PCI-DSS ve ISO 27001 kontrol otomasyonu; Rego ile Kubernetes politika yazımı; Conftest ile CI'da policy test; AWS Config Rules ile bulut uyumluluk; OSCAL (Open Security Controls Assessment Language) ile uyumluluk standardı; uyumluluk kanıtı toplamayı otomatize etme — audit evidence pipeline; regülatör ile makine-üretimi uyumluluk raporu paylaşma.
• Yazılım Tedarik Zinciri Güvenliği: SolarWinds ve XZ Utils saldırılarından öğrenilenler; SLSA (Supply-chain Levels for Software Artifacts) framework seviyeleri (1-4); sigstore ekosistemi — cosign (imzalama), rekor (şeffaf log), fulcio (sertifika); in-toto ile build attestation ve provenance kanıtı; Tekton Chains ile Kubernetes pipeline imzalama; SBOM ile bileşen şeffaflığı ve EDR entegrasyonu; güvenilir build ortamı — hermetic build ve reproductible build.
• DevSecOps Araç Ekosistemi ve Seçim Rehberi: Güvenlik araç sınıfı karşılaştırmasI — SAST, DAST, IAST, SCA, secret scan, container scan, CSPM, SIEM, PAM; açık kaynak vs ticari araç karar çerçevesi; araç yorgunluğu (tool fatigue) ve platform konsolidasyonu; güvenlik araçlarını geliştirici deneyimiyle bütünleştirme — IDE plugin, PR comment, dashboard; DevSecOps araç zinciri maliyet modelleme.
• DevSecOps Olgunluk Yol Haritası ve Kariyer: 30-60-90 günlük DevSecOps dönüşüm planı; OWASP SAMM önce/sonra ölçümü; güvenlik metriklerini yönetici dashboard'a taşıma; DevSecOps mühendisi kariyer yolu — AppSec, Cloud Security, Red Team, GRC; sertifikasyon yol haritası: CSSLP (Certified Secure Software Lifecycle Professional), CKS (Certified Kubernetes Security Specialist), AWS Security Specialty; DevSecOps toplulukları ve güncel kaynak takibi.
• Kapsamlı Proje: Katılımcılar eğitim boyunca geliştirdikleri uygulamayı tam DevSecOps pipeline'ına dahil eder: SAST (Semgrep) + SCA (Snyk) + secret scan (Gitleaks) + container scan (Trivy) + DAST (ZAP) + IaC scan (checkov) + OPA admission control + Vault secret + Falco runtime monitoring. Proje değerlendirme kriterleri: kapsam, pipeline otomasyonu, yanlış pozitif yönetimi, raporlama kalitesi.

EĞİTİM YÖNTEMİ

• Saldırgan Perspektifinden Savunma Öğrenme: Her güvenlik kontrolü önce saldırı perspektifinden gösterilir (nasıl exploitanılır?), ardından savunma katmanları oluşturulur. Katılımcılar SQL Injection'ı sömüren kodu önce kendileri yazar, sonra parametrize sorgu ile kapatır. Bu yaklaşım güvenlik kontrolünün neden gerekli olduğunu gerçekten kavratır.
• Gerçek CVE ve İhlal Vakası Analizleri: Her modülde gerçek bir güvenlik olayı (Log4Shell, SolarWinds, Heartbleed, Codecov tedarik zinciri saldırısı) vaka çalışması olarak incelenir. Katılımcılar bu vakada ne yapılabilirdi, hangi DevSecOps kontrolü onu önlerdi sorusunu yanıtlar.
• Araçların Gerçek Ortamda Çalıştırılması: Her modülde güvenlik araçları (Trivy, Gitleaks, ZAP, checkov, Falco, Wazuh) canlı olarak çalıştırılır; gerçek bulgu üretilir, yorumlanır ve önceliklendirilir. Araçların çıktısını okuma ve eyleme dönüştürme pratiği sınıfın en değerli becerisi olarak hedeflenir.
• Red vs Blue Simülasyonu: Kurs ortasında bir "mini Red vs Blue" tatbikatı yapılır: bir grup (Red Team) uygulamayı saldırmaya çalışır, diğer grup (Blue Team) SIEM ve Falco ile saldırıyı tespit edip engellemeye çalışır. Bu tatbikat güvenlik izleme ve incident response becerilerini pratik yüksek basınç altında geliştirir.
• Kapsamlı Proje ve Güvenlik Pipeline Sunumu: Eğitim boyunca kümülatif olarak geliştirilen DevSecOps pipeline'ı dönem sonunda katılımcı tarafından sunulur. Değerlendirme: otomatize edilen güvenlik kontrolleri, yanlış pozitif oranı, güvenlik metrikleri ve yönetici için raporlama kapasitesi. Bu çıktı portföyün en güçlü parçalarından biri olur.

HEDEF KİTLE

DEVOPS VE PLATFORM MÜHENDİSLERİ

• Mevcut CI/CD pipeline'ına SAST, SCA, secret scan, container scan ve DAST katmanlarını eklemek; IaC güvenlik taramasını Terraform workflow'una entegre etmek; Kubernetes'te OPA/Gatekeeper politikaları ve Falco runtime güvenliği kurmak ve güvenlik araçlarının yanlış pozitiflerini yönetmek isteyen DevOps ve platform mühendisleri.

YAZILIM GELİŞTİRİCİLER VE TEKNİK EKİP LİDERLERİ

• OWASP Top 10 güvenlik açıklarını kodda bulmak ve gidermek; güvenli kodlama prensiplerini günlük geliştirme alışkanlığına dönüştürmek; PR review sürecinde güvenlik odaklı inceleme yapmak ve ekibinde security champion rolünü üstlenmek isteyen kıdemli yazılım geliştiriciler ve tech leadler.

UYGULAMA GÜVENLİĞİ (APPSEC) UZMANLARI

• Geleneksel pentest ve güvenlik açığı danışmanlığının ötesine geçerek DevSecOps pipeline'ına güvenliği otomatize etmek; threat modeling ve güvenlik olgunluk değerlendirmesi (BSIMM/SAMM) yürütmek; tedarik zinciri güvenliği (SLSA, SBOM, cosign) ve Compliance-as-Code uygulamak isteyen AppSec uzmanları.

BULUT VE ALTYAPI GÜVENLİĞİ MÜHENDİSLERİ

• AWS, Azure veya GCP üzerinde CSPM ile güvenlik duruşunu yönetmek; IAM en az yetki prensibini uygulamak; Vault ile dynamic secret ve sertifika otomasyonu kurmak; Zero Trust mimarisi tasarlamak ve cloud incident response playbook oluşturmak isteyen bulut ve altyapı güvenliği mühendisleri.

GRC VE UYUMLULUK PROFESYONELLERİ

• SOC 2, PCI-DSS, ISO 27001 ve GDPR gereksinimlerini Compliance-as-Code ile otomatize etmek; uyumluluk kanıtını makine üretimli raporlarla hızlandırmak; teknik ekibin güvenlik kontrollerini anlamak ve yönetici düzeyinde risk kararlarını CVSS ve tedarik zinciri güvenlik perspektifiyle almak isteyen GRC ve uyumluluk profesyonelleri.

KATILIMCILARDAN BEKLENTİLERİMİZ

• Temel DevOps ve CI/CD Deneyimi: GitHub Actions, GitLab CI veya Jenkins ile en az bir CI/CD pipeline yazmış olmak. Güvenlik araçları mevcut pipeline'a eklenir; "CI/CD nedir?" sorusu eğitimde yanıtlanmaz. DevSecOps, DevOps üzerine inşa edilir; bu temel olmadan araç entegrasyonunu kavramak çok zorlaşır.
• Herhangi Bir Dilde Programlama Deneyimi: Python, Java, C#, Go veya JavaScript'te kod okuyabilmek ve yazabilmek. SAST bulguları kaynak kodda gösterilir; güvenli kodlama pratikleri kod yazarak öğretilir. Programlama deneyimi olmadan modüllerin büyük bölümü kavranamaz.
• Temel Linux ve Container Bilgisi: Terminal komutları, Docker container çalıştırma ve temel Kubernetes manifest okuma. Tüm lab'lar terminal üzerinde yürütülür; Trivy, Falco, Gitleaks, ZAP araçları CLI ile çalışır. Container kavramına yabancılık lab verimliliğini ciddi ölçüde düşürür.
• Güvenlik Merakı ve "Saldırgan Zihniyeti": "Bu nasıl kötüye kullanılabilir?" sorusunu sormaya istekli olmak. DevSecOps eğitimi hem savunma hem saldırı perspektifini gerektirir; biri olmadan diğeri eksik kalır. Red vs Blue tatbikatında aktif rol almaya hazır olmak beklenir.
• Araç Kurulumu Ön Hazırlığı: Eğitim başlamadan önce Docker, Git, VS Code ve lab ortamı (minikube veya kind) kurulu olmalıdır. Kurulum yönergesi önceden iletilir. Lab süresi araç kurulumu ile harcanmaz; kurulum katılımcının sorumluluğundadır.