KURUMSAL EĞİTİM, GÜVENLİ YAZILIM GELİŞTİRME

GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ

2023 yılında IBM'in yayımladığı "Cost of a Data Breach" raporuna göre küresel ortalama veri ihlali maliyeti 4,45 milyon dolara ulaşmıştır. Bu rakamın çarpıcı bir kısmı — güvenlik araştırmacılarına göre %60'ından fazlası — yazılım geliştirme sürecinde fark edilmeyen güvenlik açıklarından kaynaklanmaktadır. OWASP'ın bir araştırması ise tespit edilen güvenlik açıklarının %75'inin uygulama katmanında bulunduğunu ortaya koymaktadır. Sonuç net: güvenlik, uygulama dağıtıldıktan sonra eklenen bir katman değil; kodun tasarlandığı andan itibaren mimari kararların ayrılmaz bir parçası olmalıdır.

"Shift-Left Security" prensibi, güvenlik testini ve güvenlik düşüncesini yazılım geliştirme yaşam döngüsünün (SDLC) mümkün olan en erken noktasına taşımayı önerir. NIST'in verilerine göre bir güvenlik açığını geliştirme aşamasında kapatmak; üretim ortamında kapatmaktan 100 kat daha ucuzdur. Bu gerçek, Secure SDLC (SSDLC) metodolojisinin temelini oluşturur ve Microsoft SDL, OWASP SAMM, BSIMM gibi çerçevelerin dayandığı temel ilkedir.

Bu eğitim; OWASP Top 10 (2021) zafiyetlerini kod düzeyinde anlama ve savunma, STRIDE ile tehdit modelleme, SAST/DAST/SCA araçlarını CI/CD pipeline'a entegrasyon, SQL Injection ve XSS'e karşı güvenli kodlama, JWT/OAuth 2.0/OpenID Connect kimlik doğrulama, AES-256/RSA/ECDSA kriptografi uygulamaları, API güvenliği (OWASP API Top 10), container ve Kubernetes güvenliği, KVKK/GDPR uyum gereksinimleri ve kurumsal güvenlik politikası tasarlama konularını gerçek saldırı senaryoları ve hands-on lab'larla kapsar.

Eğitim yalnızca güvenlik kavramlarını aktarmakla kalmaz; her katılımcı gerçek kod üzerinde zafiyetleri bizzat tespit eder, saldırı tekniklerini anlar ve savunma mekanizmalarını uygular. "Saldırganın bakış açısıyla düşün, savunanın araçlarıyla yaz" yaklaşımı eğitimin ruhunu oluşturur. Eğitim sonunda katılımcılar kurumlarında güvenli yazılım kültürünü tasarlayacak ve uygulayacak yetkinliğe ulaşır.

EĞİTİM HEDEFİ

Eğitim sonunda katılımcılar; CIA üçlüsü (Confidentiality, Integrity, Availability) ve güvenlik prensiplerini (Least Privilege, Defense in Depth, Fail Secure) gerçek senaryolarda uygular; STRIDE tehdit modellemesini bir sistem mimarisine uygular, varlıkları ve tehdit aktörlerini tanımlar ve risk öncelik listesi oluşturur; OWASP Top 10 (2021) zafiyetlerinin her birini kod düzeyinde tanır, saldırı vektörünü açıklar ve önleme tekniğini uygular; SQL Injection, XSS (Reflected/Stored/DOM), CSRF, SSRF, XXE ve Path Traversal saldırılarına karşı güvenli kod yazar; Parameterized Query, Prepared Statement ve ORM güvenli kullanımı ile injection saldırılarını önler; Content Security Policy (CSP), CORS, HSTS, X-Frame-Options gibi güvenlik HTTP header'larını yapılandırır; JWT anatomisini anlar, imza doğrulama hataları tespit eder ve OAuth 2.0 + OpenID Connect akışlarını güvenli implement eder; RBAC ve ABAC yetkilendirme modellerini uygular; AES-256-GCM ile simetrik şifreleme, RSA-OAEP ile asimetrik şifreleme ve ECDSA ile dijital imza uygular; Argon2id/bcrypt ile güvenli şifre hashing ve salting yapar; TLS 1.3 yapılandırması ve sertifika yönetimini kavrar; SAST araçlarıyla (Semgrep, SonarQube) statik kod analizi yapar ve false positive'leri disqualify eder; DAST araçlarıyla (OWASP ZAP) çalışan uygulamayı sorgular; SCA araçlarıyla (Trivy, Snyk) bağımlılık açığı tarar ve CVE skoruna göre önceliklendirir; güvenlik testlerini CI/CD pipeline'a entegre eder ve severity threshold ile pipeline başarısızlığı tetikler; OWASP API Top 10 zafiyetlerini REST API'lerde tanır ve API Gateway güvenliği uygular; container imajını Dockerfile en iyi pratiklerle güvenli inşa eder ve runtime güvenliği için AppArmor/Seccomp profili uygular; Kubernetes RBAC, PodSecurity, Network Policy ve Secret şifreleme ile cluster güvenliğini sağlar; KVKK/GDPR gereksinimlerini yazılım mimarisine yansıtır ve Privacy by Design prensibi uygular.

EĞİTİM İÇERİĞİ

1. GÜVENLİ YAZILIM GELİŞTİRME TEMELLERİ VE SSDLC

• Bilgi Güvenliği Temelleri ve CIA Üçlüsü: Confidentiality (gizlilik), Integrity (bütünlük), Availability (erişilebilirlik); güvenlik prensipleri: Least Privilege, Separation of Duties, Defense in Depth, Fail Secure, Zero Trust; güvenlik vs. işlevsellik dengesi; güvenlik açığı maliyeti: NIST'in "100x" kuralı (üretimde kapatmak geliştirmede kapatmaktan 100x pahalı); risk terminolojisi: asset, threat, vulnerability, likelihood, impact, risk = likelihood × impact; CVSS (Common Vulnerability Scoring System) v3.1: Base, Temporal, Environmental metrik hesabı.
• Secure SDLC (SSDLC) Metodolojileri: Microsoft SDL (Security Development Lifecycle): her SDLC fazına güvenlik aktivitesi ekleme; OWASP SAMM (Software Assurance Maturity Model): kurumsal güvenlik olgunluk seviyesi ölçümü; BSIMM (Building Security In Maturity Model): 130+ şirketin güvenlik pratiği karşılaştırması; "Shift-Left Security": güvenliği SDLC'nin en başına taşıma; DevSecOps: güvenliği CI/CD pipeline'ına otomasyon olarak dahil etme; faz bazlı güvenlik aktiviteleri: Tasarım→Tehdit modelleme, Geliştirme→SAST, Test→DAST+Pen test, Dağıtım→CSPM.
• Tehdit Modelleme — STRIDE ve PASTA: STRIDE metodolojisi: Spoofing (kimlik sahteciliği), Tampering (değiştirme), Repudiation (inkâr), Information Disclosure (bilgi ifşası), Denial of Service, Elevation of Privilege; DFD (Data Flow Diagram) çizimi ve güven sınırları (trust boundary); varlık envanteri: hangi varlık hangi tehdide maruz; risk önceliklendirilmesi: DREAD skorlaması; PASTA (Process for Attack Simulation and Threat Analysis): iş odaklı tehdit modellemesi; Microsoft Threat Modeling Tool ve OWASP Threat Dragon kullanımı; hands-on: örnek sistemin DFD'sini çizme ve STRIDE analizi.
• Güvenlik Gereksinimleri ve Güvenli Tasarım Desenleri: Abuse case ve misuse case: güvenlik gereksinimlerini negatif test senaryosuyla tanımlama; güvenlik kabul kriterleri: user story'e güvenlik koşulu ekleme; güvenli tasarım desenleri: Secure Proxy, API Gateway, Circuit Breaker, Strangler Fig ile güvenli göç; Privacy by Design: veri minimizasyonu, purpose limitation, storage limitation; Zero Trust Architecture: "asla güvenme, her zaman doğrula"; mikro-segmentasyon ve identity-first güvenlik mimarisi.

2. OWASP TOP 10 VE WEB UYGULAMA GÜVENLİĞİ

• A01 — Broken Access Control ve A02 — Cryptographic Failures: Broken Access Control: yatay ayrıcalık ihlali (IDOR), dikey ayrıcalık ihlali (privilege escalation), directory traversal, forceful browsing; güvenli erişim kontrolü: server-side yetki doğrulama, deny-by-default; Cryptographic Failures: hassas veriyi açık metin depolama, zayıf algoritma (MD5, SHA-1, DES) kullanımı, şifrelenmemiş TLS, hardcoded API key; önlem: AES-256-GCM, TLS 1.3, güvenli secret yönetimi (Vault, AWS Secrets Manager).
• A03 — Injection: SQL, NoSQL, Command, LDAP: SQL Injection anatomisi: girdi ORM'yi atlatıp raw SQL üretiyor; Blind SQLi ve Error-based SQLi farkı; sqlmap ile otomatik tespit; savunma: Parameterized Query, Prepared Statement, ORM güvenli kullanımı; NoSQL Injection: MongoDB $where ve $regex operatör saldırısı; OS Command Injection: subprocess.run(shell=True) tehlikesi; LDAP Injection; genel savunma: input validation, output encoding, Allowlist.
• A03 — XSS (Cross-Site Scripting) Derinlemesine: Reflected XSS: URL parametresinden script yansıması; Stored XSS: veritabanına zararlı script kaydetme; DOM-based XSS: istemci tarafı JavaScript'te unsafe sink (innerHTML, document.write, eval); Self-XSS ve BeEF framework ile saldırı zinciri; savunma triadı: output encoding (HTML, JS, URL, CSS context), Content Security Policy (CSP: script-src, connect-src, frame-ancestors), DOMPurify ile sanitizasyon; HTTPOnly ve Secure cookie flag; hands-on: Stored XSS lab ve CSP policy yazma.
• A04—A10 Kritik Zafiyetler: Insecure Design: tasarım seviyesi güvenlik açığı, tehdit modelleme ile önleme; Security Misconfiguration: default credential, açık debug endpoint, gereksiz HTTP method, verbose error message; Vulnerable and Outdated Components: CVE veritabanı ve SCA tarama; Identification and Authentication Failures: credential stuffing, session fixation, JWT algorithm confusion (alg:none saldırısı); Software and Data Integrity Failures: CI/CD pipeline zehirleme, deserialization saldırısı; Security Logging and Monitoring Failures: log yokluğu, eksik alert; SSRF: iç ağa istek yönlendirme ve cloud metadata endpoint saldırısı (169.254.169.254).

3. KİMLİK DOĞRULAMA, YETKİLENDİRME VE OTURUM YÖNETİMİ

• Kimlik Doğrulama Mekanizmaları ve MFA: Password-based authentication: güçlü parola politikası, hesap kilitleme (account lockout), rate limiting; credential stuffing ve brute force savunması: CAPTCHA, progressive delay, IP reputation; Multi-Factor Authentication (MFA): TOTP (RFC 6238), HOTP, FIDO2/WebAuthn passkey; SMS OTP zayıflıkları: SIM swapping; Passwordless authentication: Magic Link, passkey; parola depolama: Argon2id (OWASP önerisi), bcrypt, scrypt — MD5 ve SHA-1 neden yetersiz; salt ve pepper kavramları.
• OAuth 2.0 ve OpenID Connect: OAuth 2.0 rolleri: Resource Owner, Client, Authorization Server, Resource Server; grant type'lar: Authorization Code + PKCE (public client için zorunlu), Client Credentials (machine-to-machine), Resource Owner Password (anti-pattern), Device Code; implicit flow neden deprecated; PKCE: code_verifier ve code_challenge ile CSRF ve interception önleme; OpenID Connect ID Token: JWT yapısı, claim'ler (sub, iss, aud, exp, iat, nonce); güvenli implementasyon: state parametresi, nonce, redirect_uri kısıtlama; OAuth güvenlik açıkları: open redirect, token leakage, CSRF.
• JWT Güvenliği ve Oturum Yönetimi: JWT anatomisi: Header.Payload.Signature; algorithm confusion saldırısı: alg:none ve RS256→HS256 geçişi; weak secret brute force; JWT claim doğrulama: exp, iss, aud, nbf kontrolleri; refresh token rotation ve silent refresh; JWT revocation sorunu ve çözümleri: token blacklist, short-lived token; güvenli oturum yönetimi: server-side session vs JWT; SameSite cookie (Strict, Lax, None) ve CSRF önleme; session fixation ve session hijacking savunması; oturum sonlandırma: sunucu tarafında invalidation.
• Yetkilendirme Modelleri — RBAC, ABAC, ReBAC: RBAC (Role-Based Access Control): rol tanımı, hiyerarşik roller, en az ayrıcalık; ABAC (Attribute-Based Access Control): subject/resource/environment attribute politikası, XACML/OPA/Casbin; ReBAC (Relationship-Based Access Control): Google Zanzibar modeli, tuple tabanlı izin grafı; server-side yetki doğrulama: asla client'a güvenme; IDOR önleme: doğrudan nesne referansı yerine dolaylı referans; yetki denetim logu; Kubernetes RBAC: ClusterRole, Role, ClusterRoleBinding, ServiceAccount ile en az ayrıcalık.

4. KRİPTOGRAFİ VE VERİ KORUMA

• Simetrik Şifreleme ve Güvenli Uygulama: AES (Advanced Encryption Standard): 128/192/256 bit anahtar; AES-ECB neden tehlikeli: pattern leakage; AES-CBC: IV (Initialization Vector) önemi ve padding oracle saldırısı; AES-GCM (önerilen): AEAD — şifreleme + bütünlük + kimlik doğrulama tek seferde; nonce yönetimi: her şifreleme için benzersiz nonce; anahtar yönetimi: anahtar rotasyonu, HSM (Hardware Security Module), cloud KMS; ChaCha20-Poly1305: mobil cihazlarda AES alternatifi; hands-on: Python ile AES-256-GCM şifreleme ve deşifreleme.
• Asimetrik Şifreleme ve Dijital İmza: RSA: public/private key çifti, RSA-OAEP şifreleme, RSA-PSS imza; RSA-PKCS#1 v1.5 neden güvensiz: Bleichenbacher padding oracle; ECC (Elliptic Curve Cryptography): ECDH anahtar değişimi, ECDSA imza; Ed25519: hız ve güvenlik açısından üstün eğri; Diffie-Hellman Anahtar Değişimi: Perfect Forward Secrecy (PFS) neden kritik; dijital imza iş akışı: hash + private key sign → public key verify; kod imzalama (code signing) ve supply chain güvenliği; sertifika: X.509 yapısı, CA zinciri, SANs, OCSP ve CRL ile revokasyon.
• Hashing, Şifre Saklama ve TLS: Kriptografik hash özellikleri: deterministic, one-way, avalanche effect, collision resistance; MD5 ve SHA-1 neden kırık: collision saldırısı (SHAttered); SHA-256/SHA-3 güvenli kullanım; HMAC: anahtarlı hash ile mesaj bütünlüğü ve kimlik doğrulama; şifre hashing: bcrypt work factor, Argon2id (memory-hard — OWASP önerilisi), scrypt; rainbow table saldırısı ve salt ile önleme; TLS 1.3: el sıkışma akışı, 0-RTT riskleri, cipher suite (TLS_AES_256_GCM_SHA384); certificate pinning: mobil uygulamalarda MITM önleme; HSTS: Strict-Transport-Security header ve preload listesi.
• Veri Koruma ve KVKK/GDPR Uyumu: Kişisel veri kategorileri ve işleme şartları; veri minimizasyonu ve purpose limitation; Privacy by Design ve Privacy by Default; veri sınıflandırma: public, internal, confidential, restricted; şifreleme at-rest: database encryption, disk encryption; şifreleme in-transit: TLS; tokenization ve pseudonymization; KVKK'nın yazılım mimarisine yansıması: veri envanteri, silme hakkı (right to erasure) implementasyonu; GDPR Data Protection Impact Assessment (DPIA); veri ihlali bildirimi: 72 saat kuralı ve teknik hazırlık.

5. SAST, DAST, SCA VE DEVSECOPS ENTEGRASYONu

• SAST — Statik Uygulama Güvenlik Testi: SAST prensibi: kodu çalıştırmadan kaynak kod analizi; Semgrep: kural tabanlı pattern matching, custom rule yazımı; SonarQube: teknik borç ve güvenlik açığı tespiti, Quality Gate; Checkmarx ve Fortify: kurumsal SAST; false positive yönetimi: SAST sonuçlarını triage etme; taint analysis: kirli girdi kaynağından güvensiz sink'e akış takibi; SAST'ı CI pipeline'a entegrasyon: PR'da güvenlik kapısı; IDE eklentisi: anlık güvenlik geri bildirimi (Semgrep VS Code extension).
• DAST — Dinamik Uygulama Güvenlik Testi: DAST prensibi: çalışan uygulamayı dışarıdan saldırı simülasyonuyla test etme; OWASP ZAP: spider, active scan, passive scan, API scan; Burp Suite: intercepting proxy, Repeater, Intruder, Scanner; DAST'ı CI pipeline'a entegrasyon: staging ortamında otomatik tarama; API DAST: OpenAPI/Swagger spectification tabanlı endpoint keşfi; DAST sınırları: authenticated alan ve logic hataları zorlukları; authenticated DAST: oturum token ile giriş yapılmış alanı tarama.
• SCA — Yazılım Bileşen Analizi ve Supply Chain Güvenliği: SCA prensibi: kullanılan kütüphanelerin CVE veritabanıyla karşılaştırılması; Trivy: container imaj ve filesystem SCA; Snyk: geliştirici dostu CVE tespiti ve otomatik PR fix; OWASP Dependency-Check; CVE ve CVSS skoruna göre önceliklendirme; NVD (National Vulnerability Database) ve OSV.dev; software bill of materials (SBOM): CycloneDX ve SPDX formatları; Supply chain saldırısı: SolarWinds, Log4Shell, XZ Utils tarihi dersleri; dependency confusion saldırısı ve önleme: private registry mirror; npm audit ve pip-audit.
• DevSecOps Pipeline Entegrasyonu: "Security as Code": güvenlik kurallarını YAML/JSON konfigürasyonunda versiyonlama; Pre-commit hooklar: Gitleaks ile secret sızıntısı tespiti, detect-secrets; CI pipeline güvenlik kapıları: SAST → SCA → build → DAST → security gate (severity threshold aşılırsa pipeline fail); Infrastructure as Code güvenlik tarama: Checkov, tfsec, KICS ile Terraform/Dockerfile açığı tespiti; container image signing: Cosign ve Sigstore ile supply chain güvencesi; Binary Authorization: yalnızca imzalı imajların cluster'a girmesi; Secrets Management: CI/CD'de hardcoded secret sıfır tolerans politikası.

6. API GÜVENLİĞİ VE CONTAINER/KUBERNETES GÜVENLİĞİ

• OWASP API Top 10 ve REST API Güvenliği: API1 — Broken Object Level Authorization (BOLA/IDOR): her endpoint'te obje sahibi doğrulama zorunluluğu; API2 — Broken Authentication: API key yönetimi, token expiry; API3 — Broken Object Property Level Authorization: mass assignment / over-posting önleme, DTO beyaz liste; API4 — Unrestricted Resource Consumption: rate limiting, payload size limit, query complexity limit; API5 — Broken Function Level Authorization: HTTP method kontrolü; API6-10: güvensiz üçüncü taraf API, server-side request forgery, güvensiz konfigürasyon, inventory tutulmayan API'ler; API Gateway güvenliği: authentication, rate limit, WAF entegrasyonu; GraphQL güvenliği: introspection kapatma, query depth limit, batching saldırısı.
• Güvenli Dockerfile ve Container Güvenliği: Distroless ve minimal base image: saldırı yüzeyini küçültme; non-root user ile container çalıştırma: USER direktifi; read-only filesystem: --read-only flag; multi-stage build ile build araçlarını final imajdan çıkarma; COPY vs ADD tercih; .dockerignore ile hassas dosya dışlama; secret'ları build arg veya ENV'de saklamama; container image scanning: Trivy, Grype ile CI'da otomatik tarama; runtime protection: AppArmor ve Seccomp profili; Docker Bench for Security: CIS Docker Benchmark denetimi.
• Kubernetes Güvenliği Derinlemesine: Kubernetes RBAC: ClusterRole, Role, ClusterRoleBinding, RoleBinding; ServiceAccount token automount: false — sadece gereken pod'a; PodSecurity Admission: baseline ve restricted politika; SecurityContext: runAsNonRoot, readOnlyRootFilesystem, allowPrivilegeEscalation: false, capabilities drop; Network Policy: namespace ve pod izolasyonu, egress kısıtlama; Secret şifreleme: etcd-at-rest encryption (KMS provider ile); Workload Identity: cloud IAM ile service account anahtar dosyasız entegrasyon; Falco ile runtime anomali tespiti: container içi şüpheli sistem çağrısı; OPA/Gatekeeper ile admission webhook politikası.

7. GÜVENLİ KOD YAZMA PRATİKLERİ VE OWASP PROACTIVE CONTROLS

• Input Validation ve Output Encoding: "Hiçbir dış veriye güvenme" prensibi; Allowlist validation: beklenen format, tip, uzunluk ve karakter kümesi kontrolü; server-side validation zorunluluğu: istemci tarafı validasyon yeterli değil; output encoding context'e göre: HTML encoding, JavaScript encoding, URL encoding, CSS encoding; DOMPurify ile XSS sanitizasyon; parameterized query ve stored procedure; güvenli regex: ReDoS (Regex Denial of Service) önleme — catastrophic backtracking; file upload güvenliği: MIME type doğrulama, antivirus scan, dosyayı web kökü dışında saklama.
• Güvenli Hata Yönetimi ve Loglama: Hata mesajı bilgi sızıntısı: stack trace, veritabanı adı, SQL sorgusu kullanıcıya gösterilmemeli; generic error response: "Bir hata oluştu" — iç detay loga yazılır, kullanıcıya gösterilmez; yapılandırılmış loglama: JSON formatında log (timestamp, level, correlation_id, user_id, action, result); güvenlik logu minimum içerik: authentication success/failure, authorization failure, input validation failure, admin action; log injection önleme: log'a yazılan veriden newline ve özel karakteri temizleme; SIEM entegrasyonu: Elastic Security, Splunk; log integrity: write-once log depolama ve WORM (Write Once Read Many).
• Güvenli Bellek Yönetimi ve Üçüncü Taraf Kütüphane Güvenliği: Buffer overflow: C/C++'da kritik, managed dillerde (Java, .NET, Python) otomatik koruma; memory-safe languages trendi: Rust; deserialization saldırısı: Java ObjectInputStream, PHP unserialize, Python pickle tehlikesi; güvenli deserialization: allowlist ile tip kontrolü, JSON kullanımı tercih; üçüncü taraf kütüphane yönetimi: lock file (package-lock.json, go.sum), integrity hash doğrulama; dependency pinning: exact version > range; kütüphane güvenilirlik değerlendirme: commit sıklığı, bakım durumu, indirme sayısı, güvenlik geçmişi.

8. PENETRASYOn TESTİ TEMELLERI, GÜVENLIK POLİTİKASI VE KAPSAMLI PROJE

• Sızma Testi Metodolojisi ve Araçları: Sızma testi türleri: Black-box, White-box, Grey-box; sızma testi aşamaları: Reconnaissance → Scanning → Exploitation → Post-Exploitation → Reporting; OWASP Testing Guide (OTG) metodolojisi; Reconnaissance araçları: Shodan, OSINT Framework, theHarvester, subfinder; scanning: Nmap, Nikto; web uygulama testi: OWASP ZAP, Burp Suite; exploitation: Metasploit; rapor formatı: bulgular, risk skoru (CVSS), iş etkisi, öneri; bug bounty programları: HackerOne, Bugcrowd; responsible disclosure politikası.
• Kurumsal Güvenlik Politikası ve Uyum Çerçeveleri: Bilgi Güvenliği Politikası: kapsam, gereksinimler, sorumluluklar, ceza; ISMS (Information Security Management System): ISO/IEC 27001 çerçevesi; ISO 27001 Annex A kontrolleri: erişim kontrolü, kriptografi, fiziksel güvenlik, operasyon güvenliği; KVKK teknik gereksinimler: erişim kontrol, şifreleme, log tutma, sızma testi, veri imha; GDPR Article 25 ve 32: Privacy by Design ve güvenlik önlemleri; PCI-DSS: ödeme kartı veri güvenliği standartları; güvenlik farkındalık eğitimi: phishing simülasyonu ve sosyal mühendislik; kırmızı takım / mavi takım egzersizi; NIST Cybersecurity Framework: Identify, Protect, Detect, Respond, Recover.
• Kapsamlı Final Projesi — Güvenlik Denetimi ve Savunma: Katılımcılar gruplara ayrılır; bir grup "red team" olarak örnek webuygulamasına saldırır (OWASP WebGoat veya Juice Shop), diğer grup "blue team" olarak aynı uygulamanın güvenli versiyonunu geliştirir. Red team: XSS/SQLi/IDOR/JWT weakness bulguları ve CVSS skoru; Blue team: OWASP Proactive Controls ile savunma, SAST+SCA tarama entegrasyonu, güvenli authentication implementasyonu, CSP header yapılandırması. Final raporunda bulgular, risk değerlendirmesi, uygulanan savunmalar ve öğrenilen dersler sunulur.

EĞİTİM YÖNTEMİ

• Gerçek Saldırı Simülasyonu ve OWASP WebGoat / Juice Shop Lab'ları: Her modülde katılımcılar kasıtlı olarak güvensiz tasarlanmış OWASP WebGoat veya DVWA uygulamaları üzerinde gerçek saldırı tekniklerini (XSS, SQLi, CSRF, IDOR, JWT weakness) bizzat uygular. "Önce saldırganı anla, sonra savunanı yaz" prensibiyle güvenlik zihniyeti somutlaştırılır.
• Güvenli Kodlama Atölyeleri: Her saldırı tekniği ardından katılımcılar aynı güvenlik açığını içeren gerçek koda güvenli versiyon yazar: Parameterized Query ile SQLi önleme, CSP header ile XSS önleme, PKCE ile OAuth güvence. Kod, SAST aracıyla gerçek zamanlı analiz edilir ve güvenli/güvensiz versiyon karşılaştırılır.
• Tehdit Modelleme Workshopu: Katılımcılar küçük gruplar halinde gerçekçi bir sistemin (e-ticaret, bankacılık, ERP) DFD'sini oluşturur; STRIDE işaretlemesi yapar; CVSS ile risk öncelikleri belirler; "Bu sistemdeki en yüksek riskli saldırı nedir?" sorusuna takım olarak yanıt arar. Threatmodels peer review ile değerlendirilir.
• DevSecOps Pipeline Lab'ı: Katılımcılar bir CI/CD pipeline'a: Semgrep SAST, Trivy SCA, OWASP ZAP DAST ve Gitleaks secret taraması adımlarını entegre eder. Kasıtlı eklenen bir güvenlik açığı pipeline'da otomatik yakalanır; katılımcılar severity threshold kuralı yazarak pipeline'ı güvenlik kapısına dönüştürür.
• Capture The Flag (CTF) Senaryoları: Eğitimin ileri bölümlerinde küçük CTF zorlukları sunulur: JWT imza bypassı, SSRF ile internal metadata endpoint'e erişim, deserialization exploitation. Bu gamification yaklaşımı güvenlik kavramlarını kalıcı bir anıya dönüştürür ve rekabetçi öğrenme ortamı yaratır.
• Danışmanlık ve Açık Soru-Cevap: Her gün sonunda katılımcılar kendi projelerindeki güvenlik sorunlarını uzmana yöneltir: mevcut authentication akışının güvenlik denetimi, API'deki OWASP API Top 10 riski değerlendirmesi, KVKK uyumluluğu değerlendirmesi. Bireysel geri bildirimle güvenlik mimarisi önerileri alınır.

HEDEF KİTLE

YAZILIM GELİŞTİRİCİLER VE BACKEND MÜHENDİSLERİ

• Yazdıkları kod üzerinde SQL Injection, XSS, CSRF, IDOR ve insecure deserialization gibi OWASP Top 10 zafiyetlerinin nasıl ortaya çıktığını ve nasıl önleneceğini kavramak isteyen backend ve fullstack geliştiriciler; JWT, OAuth 2.0 ve OpenID Connect'i güvenli şekilde implement etmek isteyen yazılım mühendisleri; kriptografi kavramlarını (AES-GCM, Argon2id, ECDSA) gerçek kodda doğru uygulamak isteyen uygulama geliştiricileri.

DEVOPS VE DEVSECOPS MÜHENDİSLERİ

• CI/CD pipeline'larına SAST (Semgrep, SonarQube), SCA (Trivy, Snyk) ve DAST (OWASP ZAP) entegre ederek güvenlik kapıları oluşturmak isteyen DevOps mühendisleri; container güvenliği (Dockerfile hardening, distroless, Falco) ve Kubernetes güvenliği (RBAC, PodSecurity, Network Policy, Secret şifreleme) konularında derinlemesine bilgi edinmek isteyen platform mühendisleri; supply chain güvenliği (SBOM, Cosign, Binary Authorization) ile yazılım dağıtım zincirini korumak isteyen DevSecOps uzmanları.

YAZILIM MİMARLARI VE TEKNİK LİDERLER

• Sistem tasarımı aşamasında tehdit modelleme (STRIDE) ve güvenli mimari desenler (Zero Trust, Defense in Depth) uygulayan yazılım mimarları; OWASP SAMM ile kurumsal güvenlik olgunluk seviyesini ölçmek ve yükseltmek isteyen teknik liderler; Privacy by Design ve KVKK/GDPR gereksinimlerini sistem mimarisine yansıtmak isteyen çözüm mimarları.

GÜVENLİK UZMANLARI VE SOC ANALİSTLERİ

• Uygulama katmanındaki güvenlik açıklarını yazılım geliştirme perspektifinden anlayarak daha etkili penetrasyon testi raporu hazırlamak isteyen güvenlik mühendisleri; SIEM entegrasyonu için uygulama güvenlik loglarını standartlaştırmak ve log injection güvenlik açıklarını önlemek isteyen SOC analistleri; kurumsal güvenlik politikası (ISO 27001, NIST CSF) ile yazılım geliştirme süreçleri arasındaki boşluğu kapatmak isteyen bilgi güvenliği uzmanları.

PROJE YÖNETİCİLERİ VE IT YÖNETİCİLERİ

• Güvenli yazılım geliştirme yaşam döngüsünü (SSDLC) proje süreçlerine entegre etmek ve güvenlik gereksinimlerini user story'e dahil etmek isteyen proje yöneticileri; KVKK/GDPR uyumluluğunun teknik gerektirdiğini kavramak ve güvenlik yatırım kararlarını bilinçli almak isteyen IT direktörleri ve CTO'lar; kurumlarında güvenlik farkındalık kültürü ve güvenli kod geliştirme politikası oluşturmak isteyen yöneticiler.

KATILIMCILARDAN BEKLENTİLERİMİZ

• Temel Programlama Deneyimi: Herhangi bir dilde (Python, Java, C#, Go, JavaScript) en az 6 ay uygulama geliştirme deneyimi; HTTP protokolünü temel düzeyde anlama: request/response, header, cookie, URL; JSON ve REST API kavramlarına aşinalık. Eğitimdeki kod örnekleri ve lab'lar Python ve C# ile verilir; her iki dili okuyabilmek yeterlidir, ileri seviye yazma becerisi beklenmez.
• Temel Ağ ve HTTP Bilgisi: HTTP durum kodları (200, 400, 401, 403, 500), method'lar (GET/POST/PUT/DELETE) ve temel header'lar; HTTPS ve TLS'nin genel işleyişini kavramak; DNS, IP, port kavramları; tarayıcı geliştirici araçlarını (DevTools → Network tab) kullanabilmek. Bu bilgiler özellikle XSS, CSRF ve API güvenliği konularını anlamak için doğrudan gereklidir.
• Temel Linux ve Komut Satırı Yetkinliği: curl ile HTTP isteği atabilmek; dosya okuma, kopyalama, arama (grep); Docker: container ayağa kaldırma ve log izleme. Lab ortamı Linux tabanlıdır; temel CLI yetkinliği lab'lardan maksimum verim almanızı sağlar. Windows kullananlar için WSL2 kurlu ortam yeterlidir.
• Öğrenme Motivasyonu ve "Hackera-Mindset" Merakı: Güvenlik açıklarının nasıl exploit edildiğini merak etmek — savunmayı anlamak için saldırıyı anlamak gerekir. CTF (Capture The Flag) kültürüne ilgisi olan, "bu sistemi nasıl kırarım?" sorusunu soracak meraklı katılımcılar eğitimden en yüksek değeri üretir. Teknik derinlik kadar, yaratıcı problem çözme yaklaşımı bu eğitimde kritik öneme sahiptir.
• Aktif Katılım ve Etik Taahhüt: Lab ortamında öğrenilen saldırı tekniklerinin yalnızca izinli sistemlere uygulanacağı taahhüdü ve etik hacker anlayışı; grup çalışmalarına aktif katılım; kendi sistemlerindeki güvenlik sorunlarını paylaşmaya istekli olma. Güvenlik eğitiminin değeri doğrudan katılımcının gerçek dünya deneyimini sınıfa taşımasıyla artar.