KURUMSAL EĞİTİM, GÜVENLİ YAZILIM GELİŞTİRME
Güvenlik, kod yazıldıktan sonra test edilen değil; ilk mimari tasarımdan (Shift-Left) itibaren kodun genlerine işlenen bir süreçtir. OWASP Top 10 zafiyetlerinden DevSecOps entegrasyonlarına, modern şifreleme algoritmalarından (AES-256-GCM, Argon2id) sıfır güven mimarilerine kadar her katmanda saldırgan gibi düşünmeyi, defans yapan gibi kodlamayı öğrenin.
Eğitim Tanıtım Videosu
Saldırgan psikolojisini ve SSDLC metodolojilerini, CI/CD güvenlik otomasyonları ve WebGoat penetrasyon denemelerini videomuzda inceleyin.
Shift-Left Security
Zafiyetleri prodüksiyon ortamından çok daha önce, henüz kod geliştirme aşamasındayken (IDE & CI seviyesinde) tespit ve bloke edin.
EĞİTİM SÜRESİ, FORMATLARI VE KURUM ODAKLI YAKLAŞIM
Eğitim programlarımız, kurumunuzun hedefleri, ekip olgunluğu ve proje ihtiyaçlarına göre farklı yoğunluk seviyelerinde esnek olarak tasarlanmaktadır. Aşağıdaki formatlardan ihtiyacınıza en uygun olanı seçebilir veya tamamen özelleştirilmiş bir program talep edebilirsiniz.
- 1 Gün: Stratejik Farkındalık Semineri
- 5 Gün: Standart Teknik Eğitim Programı
- 10 Gün: Yoğun Uygulamalı (Hands-on) Eğitim
- 15-20 Gün: İleri Seviye Workshop & Proje Geliştirme Programı
- Ders Süresi: 50 dakika
- Eğitim Saatleri: 10:00 - 17:00 (İhtiyaca göre özelleştirilebilir)
Eğitimler, öğrenme verimliliğini artıracak şekilde yapılandırılmıştır. Her oturum 50 dakika eğitim + 10 dakika mola şeklinde planlanır. Gün içerisinde 12:00 - 13:00 saatleri arasında öğle arası verilir. Bu yapı ile katılımcılar, günlük ortalama 6 saat odaklı eğitim alır. Örneğin 5 günlük bir program toplamda 30 saatlik yoğun bir öğrenme deneyimi sunar.
- 1 Günlük Seminer:
Karar vericiler ve teknik ekipler için tasarlanmış bu formatta, ilgili teknolojinin temel prensipleri, sektörel etkileri ve kuruma sağlayacağı stratejik katkılar ele alınır. Amaç; farkındalık oluşturmak ve doğru yatırım kararlarını desteklemektir.- 5 Günlük Standart Program:
Konular sistematik bir şekilde ele alınır, teorik altyapı güçlü şekilde oluşturulur ve gerçek dünya senaryoları ile desteklenir. Katılımcılar; mimari yaklaşımlar, araçlar, kod yapıları ve uygulama örnekleri ile kapsamlı bir bilgi seviyesine ulaşır.- 10 Günlük Yoğun Hands-on Program:
Uygulama odaklı bu programda katılımcılar aktif olarak kod yazar, sistem kurar ve senaryolar geliştirir. Gerçek projelere yakın simülasyonlar ile öğrenme pekiştirilir. Özellikle yeni ekip kuran veya mevcut ekibini hızla yetkinleştirmek isteyen kurumlar için idealdir.- 15-20 Günlük İleri Seviye Workshop:
Katılımcılar yalnızca öğrenmez, aynı zamanda üretir. Eğitmen rehberliğinde gerçek bir sistem veya mimari geliştirilir. Ödevler, teknik değerlendirmeler ve yoğun workshop’lar ile ekiplerin ilgili teknolojiye tam hakimiyeti sağlanır. Özellikle organizasyon içinde yeni bir teknoloji dönüşümü planlayan kurumlar için önerilir.
Eğitimlerimiz uzaktan, müşteri lokasyonunda veya hibrit formatta gerçekleştirilebilir. Katılımcılar online platformlar (Microsoft Teams veya Zoom) üzerinden erişim sağlayabilir; eğitim süresince ekran paylaşımı, canlı kodlama, interaktif soru-cevap ve iş birliği araçları aktif olarak kullanılır.
Kurum ve Katılımcı Odaklı Eğitim Yaklaşımı
Her eğitim programı, standart bir içerik sunumu değil; doğrudan kurumun hedeflerine, ekip yapısına ve mevcut olgunluk seviyesine göre tasarlanan özelleştirilmiş bir öğrenme deneyimidir. Bu yaklaşım, eğitimin yalnızca bilgi aktarımı değil, ölçülebilir çıktı üretmesi amacıyla kurgulanır.
Katılımcı Profiline Göre İçerik Kurgulama
-
Yeni işe alınmış ekipler:
- Amaç: Projelere hızlı adaptasyon
- İçerik: Temel kavramlar + kurum teknolojilerine hızlı geçiş
- Odak: Hands-on uygulamalar ve gerçek proje senaryoları
-
Teknik ekipler (Developer / Senior Developer):
- Amaç: Teknik derinlik ve üretkenlik artışı
- İçerik: Best practice, kod kalitesi, performans
- Odak: Uygulamalı geliştirme ve refactoring
-
Teknik mimar ekipler:
- Amaç: Doğru mimari ile teknoloji konumlandırma
- İçerik: Sistem tasarımı, scalability, distributed architecture
- Odak: Mimari kararlar ve gerçek dünya senaryoları
-
Yönetim ve karar verici katman:
- Amaç: Teknolojinin iş hedefleri ile hizalanması
- İçerik: Strateji, ROI, risk yönetimi
- Format: Seminer / Executive briefing
Sonuç
- Hemen uygulanabilir bilgi sağlanır
- Ekiplerin adaptasyon süresi kısaltılır
- Teknik ve yönetsel hizalanma oluşturulur
Üretimde Kapatmak 100 Kat Daha Pahalı
Güvenlik açıkları, genellikle geliştirme aşamasındaki dikkatsizliklerden doğar ve uygulama yayına alındığında şirketlere milyonlarca dolarlık zarara mal olur. NIST araştırmalarına göre bir zafiyeti geliştirme safhasında (SSDLC) tespit etmek ve kapatmak, üretim (prod) ortamında kapatmaya göre 100 kat daha ucuzdur.
Saldırgan Perspektifi
XSS, SQLi ve Broken Access Control gibi kavramları sadece teoride öğrenmez, kasıtlı olarak hazırlanmış güvensiz zeminlerde bu zafiyetleri istismar (exploit) edersiniz.
DevSecOps
SAST (Semgrep, SonarQube), DAST (OWASP ZAP) ve SCA (Trivy, Snyk) gibi araçları otomatik CI/CD süreçlerinize dahil ederek sürekli güvenlik taraması gerçekleştirirsiniz.
Eğitim Hedefi
Katılımcılara, SSDLC (Secure Software Development Life Cycle) vizyonunu benimsetmek; CIA üçlüsü, Defense in Depth ve Zero Trust felsefeleri ışığında sağlam bir mimari inşa edebilmelerini sağlamaktır.
Eğitim sonunda katılımcılar; STRIDE ile tehdit modelleme yapar, OWASP Top 10 listesindeki en yaygın güvenlik açıklarını (IDOR, SQL Injection, XSS, SSRF, Deserialization, vb.) kod tabanında tespit eder ve sıfırlar. Parameterized sorgular kullanır; JWT anatomisini çözümleyerek OAuth 2.0 ve OpenID Connect entegrasyonlarını en güvenli (PKCE) standartlarda kurgular. AES-256-GCM ile verileri şifrelerken Argon2id ile de parolaları kırılması imkansız (hash+salt) hale getirir. Docker container'ları sıkılaştırır (hardening), Kubernetes yetkilendirmelerini (RBAC, PodSecurity) uygular; KVKK ve GDPR süreçlerini yazılıma bir Privacy by Design kültürü olarak yedirirler.
Eğitim İçeriği
SSDLC & Shift-Left
- CIA & İlkeler: Confidentiality, Integrity, Availability, Least Privilege, Zero Trust.
- SSDLC: MS SDL ve BSIMM pratikleri, Shift-Left yaklaşımı.
- Tehdit Modelleme: STRIDE ve PASTA metotları, DREAD puanlaması, Attack Surface analizi.
OWASP Top 10 (Web Security)
- Broken Access: IDOR, Privilege Escalation (Yatay ve Dikey Yetki Artırımı).
- Injection: SQL, NoSQL ve OS Command Injection pratikleri ve Parameterized Defense.
- XSS & CSRF: Reflected/Stored/DOM XSS, SameSite Cookies ve CSP politikaları.
Auth & Oturum Yönetimi
- MFA & Credential: Brute force savunması, FIDO2, WebAuthn.
- OAuth2 & OIDC: Authorization Code Flow, PKCE güvenliği.
- JWT & Sessions: alg:none atakları, Token Hijacking, Refresh Token Rotation, RBAC/ABAC.
Kriptografi ve Veri Koruma
- Simetrik (AES): AES-256-GCM, Nonce yönetimi, AEAD, şifreli veri saklama.
- Asimetrik (RSA/ECC): Ed25519, Dijital İmzalar ve Diffie-Hellman (PFS).
- Hashing: Şifre tutma standartları (Argon2id, bcrypt), Salt ve KVKK/GDPR uyum prensipleri.
DevSecOps: SAST, DAST, SCA
- SAST: Semgrep ve SonarQube ile PR'larda statik analiz, False Positive yönetimi.
- DAST: OWASP ZAP ile aktif uygulama zafiyet taraması.
- SCA & SBOM: Snyk/Trivy kullanımı, kütüphane CVE tespiti, Supply Chain güvenliği (Cosign).
API & Container/K8s Güvenliği
- OWASP API: BOLA, Mass Assignment, Rate Limiting, API Gateway Mimarisi.
- Docker Security: Distroless, Non-Root USER, Read-Only FS ve Seccomp.
- K8s Security: RBAC, Secret şifreleme, Falco ile runtime anomali tespiti.
Güvenli Kodlama (Proactive)
- Validasyon: Input Validation (Allowlist), Output Encoding, DOMPurify.
- Log & Error: Generic Error Messages, Sensitive Data Masking, Log Injection.
- Memory Safe: Buffer Overflow, Deserialization saldırıları ve korunma yolları.
Penetrasyon & Blue/Red Team
- Pentest: Reconnaissance, Nmap, Metasploit temel kullanım ve Bug Bounty kavramları.
- ISMS & Policy: ISO 27001, PCI-DSS standartları ve Security Awareness.
- Blue/Red Project: WebGoat/JuiceShop üzerinde takımlı hacking ve açığı yamama (patching) simülasyonu.
Eğitim Metodolojimiz
- Hack the Target (Saldırı Simülasyonu): Katılımcılar OWASP WebGoat veya OWASP Juice Shop üzerinde bilinen en sinsi açıkları, hacker araçları kullanarak bizzat sömürür.
- Güvenli Kod Atölyeleri: İstismar edilen (exploit edilen) uygulamanın ilgili bölümleri, katılımcılar tarafından güvenli kodlama prensipleriyle (ör. CSP header eklenerek) yeniden yazılır ve yamanır.
- DevSecOps Otomasyonu: Gitleaks, Semgrep ve Trivy araçları; laboratuvar ortamındaki bir CI/CD pipeline'a kurularak otomatik tarama yetenekleri incelenir.
- CTF (Capture The Flag): Sürecin son günlerinde senaryo tabanlı güvenlik sorularını içeren küçük ölçekli, rekabetçi CTF yarışmaları düzenlenir.
Hedef Kitle
Yazılım ve Backend Geliştiriciler
JWT, OAuth ve Kriptografik süreçleri en güncel standartlarla uygulayıp güvenliği kod yazarken inşa etmek isteyenler.
Yazılım Mimarları ve Teknik Liderler
STRIDE Tehdit modellerini ve Sıfır Güven (Zero Trust) felsefesini proje tasarımına yedirerek maliyeti düşürmeyi hedefleyenler.
DevOps ve DevSecOps Uzmanları
SAST/DAST/SCA tarayıcılarını CI/CD hatlarına ve Kubernetes cluster'larına (Falco, SBOM) entegre eden mühendisler.
SOC Analistleri / Güvenlik Uzmanları
Web Uygulama güvenlik açıklarının kod seviyesindeki dinamiklerini anlayıp daha etkin zafiyet raporlaması yapmak isteyen siber defans personeli.
Proje Yöneticileri
Uygulama güvenliğinin zaman/maliyet planlamasını yapıp "Privacy by Design" ile KVKK standartlarını sağlamayı amaçlayan yöneticiler.
Katılımcılardan Beklentilerimiz
- Temel Programlama ve HTTP: Herhangi bir dilde en az 6 ay tecrübe, REST API, JSON, HTTP Header/Method (GET/POST vs.) ve Status Code okuma becerisi.
- Siber Güvenlik Farkındalığı: Sistemleri sadece "çalıştırma" değil "kırma ve istismar etme" felsefesine de duyulan merak (Hacker-mindset).
- Linux CLI: Temel düzeyde cURL atabilme, Docker Container ayağa kaldırabilme, Log inceleme ve Network ayarlarını kavrama yetkinliği.
- Geliştirme Araçları: Geliştirici (DevTools) Network sekmesinde istek analizi yapabilme, IDE (ör: VS Code) kullanım pratiği.
Bu bölüm; SQL Injection savunması (Parameterized Queries), AES-256 GCM Şifreleme, JWT (alg:none zafiyeti ve Payload) ve DevSecOps taramaları gibi kritik konularda RAG sistemleri için kod referansları içerir.
C# SQLi Savunması & Argon2id Hashing
Kullanıcıdan alınan verinin raw string olarak SQL ile birleştirilmesini (String Interpolation) önleyip, parolaları GPU kırıcılarına karşı korumak.
// ❌ GÜVENSİZ (SQLi AÇIĞI):
// var sql = $"SELECT * FROM Users WHERE Username = '{username}'";
// ✅ GÜVENLİ Parameterized Query:
public async Task<User?> GetUserAsync(string username) {
const string sql = "SELECT Id, Hash FROM Users WHERE Username = @username";
using var cmd = new SqlCommand(sql, conn);
cmd.Parameters.AddWithValue("@username", username);
// ...
}
// ✅ Argon2id (OWASP Tavsiyesi) Şifre Hashing:
return Argon2.Hash(password, iterations: 3, memorySize: 65536, parallelism: 4);Python AES-256-GCM & Güvenli JWT
Authenticated Encryption (Bütünlük ve Şifreleme) ve PyJWT modülünde tehlikeli algoritmaların devre dışı bırakılması.
from cryptography.hazmat.primitives.ciphers.aead import AESGCM
import secrets, jwt
# AES-256-GCM (Nonce her şifrelemede tamamen RASTGELE ve BENZERSİZ olmalıdır)
def encrypt_data(plaintext: bytes, key: bytes) -> tuple[bytes, bytes]:
nonce = secrets.token_bytes(12)
aesgcm = AESGCM(key)
ciphertext = aesgcm.encrypt(nonce, plaintext, associated_data=None)
return nonce, ciphertext
# Güvenli JWT Decode (alg:none atağına karşı Explicit "HS256" tanımlaması)
def verify_jwt(token: str):
return jwt.decode(
token, SECRET_KEY,
algorithms=["HS256"], # Asla ["HS256", "none"] kullanma!
options={"verify_exp": True, "verify_iss": True, "verify_aud": True},
issuer="https://auth.sistem.com", audience="sistem-api"
)OWASP AppSec Asistanı Promptu
Kurumunuzda yazılan kodları LLM yardımıyla OWASP güvenlik taramasından geçirip tehlikeli paternleri tespit ettiren sistem promtu.
Sen, OWASP Top 10 ve SSDLC standartlarına %100 hakim, uzman bir Uygulama Güvenlik Mimarı ve DevSecOps mühendisisin.
Aşağıdaki backend kodunu incele:
[kod_buraya_gelecek]
Şu zafiyetleri kontrol et:
1. IDOR (Broken Access Control): Kullanıcının talep ettiği objeye gerçekten sahip olup olmadığını yetki kontrolüyle denetliyor mu?
2. Injection: Veritabanı sorgularında string formatlama, OS komutlarında kabuk (shell=True) zafiyeti veya NoSQL injeksiyonları var mı?
3. XSS/Data Validation: Kullanıcıdan alınan veriler güvenli bir 'Allowlist' ile taranıp sanitize edilmiş mi? Değilse, saldırganın kullanabileceği "Unsafe Sink" alanları nerede?Aradığınız Eğitimi Bulduğunuzu Düşünüyorsanız!
Kurumsal eğitim programlarımız, sektörün en güncel ve kritik teknoloji trendlerinde yetkinlik kazanmanız amacıyla lider seviyede yapılandırıldı. Küresel 1-10 değerlendirme sistemlerinde 9.5 ve üzeri memnuniyet puanı alan eğitim içeriklerimiz, ekibinize pratik yetkinlik kazandırmak için tasarlandı.
25 yılı aşkın eğitim sektörü birikimimizi, küresel savunma sanayii ve kurumsal DevOps/Siber Güvenlik danışmanlığı tecrübelerimizle harmanlıyoruz. Ekiplerinizin ihtiyaç duyduğu pratik becerileri, tamamen kuruma özel özgün laboratuvar senaryolarıyla destekleyerek sunuyoruz.
Eğitimin ardından tüm katılımcılara özel GitHub depoları üzerinden hazır çalışma ortamları (labs) ve hayat boyu erişebilecekleri dokümantasyon kütüphanesi açılmaktadır. Kurumsal hedeflerinizi uzmanlığımızla gerçeğe dönüştürün.
Eksiksiz Eğitim Kataloğu
Hands-on Kurumsal Eğitim, Workshop ve Turquality Programları
Tüm eğitimlerimiz, 35 yıllık mühendislik deneyiminin süzgecinden geçmiş, tamamen gerçek dünya senaryolarına (Case Study) dayalı ve hands-on (uygulamalı) olarak sunulmaktadır. Materyaller Git üzerinden dinamik olarak paylaşılır ve katılımcı ihtiyaçlarına göre özelleştirilmiş danışmanlık katmanı içerir.
Yapay Zeka, Üretken AI ve AGI Stratejileri
Genel Yapay Zeka (AGI) vizyonundan otonom ajan mimarilerine, kurumsal RAG ve Fine-Tuning stratejilerinden açıklanabilir AI standartlarına uzanan derinlemesine programlar.
DevOps, Kubernetes ve Platform Otomasyonu
Cloud-native altyapıların kurulumu, orkestrasyonu ve yönetiminde endüstriyel standartlar (NIST, CNCF) ile yüksek erişilebilirlik çözümleri.
Siber Güvenlik, DevSecOps ve Defansif Teknolojiler
Yazılım yaşam döngüsünün her aşamasında güvenlik (Security by Design), siber farkındalık ve kurumsal SOC operasyonları uzmanlığı.
Blockchain, Web3 ve Akıllı Sözleşme Geliştirme
Merkeziyetsiz internet (Web3) ekosisteminde; DAO yapıları, NFT mülkiyeti ve Solidity ile güvenli kontrat geliştirme uzmanlığı.
Yazılım Mimarisi, Big Data ve Veri Yönetimi
Event-driven sistemler, mikroservis modernizasyonu ve yüksek trafikli projelerin mimari tasarımı ve optimizasyonu.
Mikroservis Yazılım Üretimi ve Programlama Dilleri
Çok dilli (Polyglot) geliştirme ortamlarında mikroservis tasarımı, asenkron programlama ve temiz kod standartları.
Proje Yönetimi, Agile ve SAFe Metodolojileri
Kurumsal çevikliğin (Business Agility) sağlanmasında; Scrum, Kanban ve SAFe framework'lerinin uygulanması ve PMP standartları.
Teknik Workshop ve Derin Dalış (Deep Dive) Seansları
Spesifik mühendislik problemlerine odaklanan, kısa süreli ancak yoğun uygulama içeren laboratuvar çalışmaları.
Turquality ve Kurumsal Gelişim Programları
Globalleşen kurumlar için Turquality standartlarında teknoloji modernizasyonu, dijital dönüşüm ve stratejik yönetim eğitimleri.
Tüm Workshoplar Sizin İçin Özel Hazırlananan Kurumsal Workshoplarımız
Workshoplar konuların 360 derece açıdan ele alındığı, konuların derinlemesine işlendiği, handsonlar ile katılımcıların birlikte çalışma fırsatı bulduğu en kapsamlı eğitim formatımızdır.
Tüm Seminerlerimiz Sizin İçin Özel Hazırlananan Kurumsal Seminerlerimiz
Tüm seminerlerimiz sizin senaryolarınız ve ihtiyaçlarınız için size özel hazırlanır. Katılımcı profiline uygun özel örnekler ve katılımı teşvik edecek özel içerikler ile zenginleştirilir.