KURUMSAL EĞİTİM, SIFIRDAN ZİRVEYE KUBERNETES TRİVY İLE OTOMATİK GÜVENLİK TARAMALARI

GÜVENLİĞİN İSVİÇRE ÇAKISI: TRIVY İLE DEVSECOPS DEVRİMİ

2026 yazılım dünyasında güvenlik, artık bir "kontrol aşaması" değil; geliştirme sürecinin ayrılmaz bir parçasıdır. Aqua Security tarafından geliştirilen **Trivy**, konteyner imajlarından bulut altyapılarına, dosya sistemlerinden yazılım bağımlılıklarına kadar her şeyi tarayabilen dünyanın en kapsamlı açık kaynaklı güvenlik aracıdır. Trivy, güvenliği "Shift Left" felsefesiyle doğrudan geliştiricinin klavyesine taşır.

Modern Trivy kullanımı, sadece CVE (Common Vulnerabilities and Exposures) taramanın çok ötesindedir. Altyapı kodlarınızdaki (**Terraform**, **Kubernetes YAML**) yapılandırma hatalarını (Misconfigurations), kod içine sızmış gizli anahtarları (**Secrets**) ve açık kaynak lisans uyumluluklarını tek bir komutla tespit eder. Trivy, 2026'da güvenliğin görünmez kahramanıdır.

Yazılım tedarik zinciri (Supply Chain) güvenliğinde ise Trivy, **SBOM (Software Bill of Materials)** standartlarının (CycloneDX/SPDX) hem üreticisi hem de denetçisidir. Uygulamanızın içindeki her bir kütüphanenin "nüfus cüzdanını" çıkararak, sadece bilinen açıkları değil, aynı zamanda yazılım envanterinizin tam şeffaflığını sağlar. Güven, doğrulanabilir olduğunda gerçektir.

Vebende Akademi'nin "Sıfırdan Zirveye Trivy" eğitimi, katılımcıları sadece tarama yapanlardan; kurumsal CI/CD boru hatlarında aşılmaz güvenlik kapıları inşa eden ve otonom güvenlik denetimi sistemleri kurgulayan birer "DevSecOps Architect" seviyesine taşır. Güvenliği sonraya bırakmayın, en baştan mühürleyin.

EĞİTİM HEDEFİ

Eğitim sonunda katılımcılar; Trivy 2.x/3.x ekosistemini ve modern tarama yeteneklerini derinlemesine kavrayabilir; konteyner imajlarını katman bazlı analiz ederek **Distroless** veya **Multi-arch** yapılardaki zafiyetleri tespit edebilir; **SBOM (Software Bill of Materials)** üreterek yazılım tedarik zinciri güvenliğini standartlaştırabilir; **Infrastructure as Code (IaC)** dosyalarını (Terraform/CloudFormation/K8s) tarayarak bulut yapılandırma hatalarını yayına girmeden engelleyebilir; kod depolarında ve imajlarda sertifika, token ve API anahtarı gibi **Secret** sızıntılarını otonom olarak yakalayabilir; **Trivy Operator** kullanarak çalışan Kubernetes kümelerinde sürekli (continuous) güvenlik denetimi yapabilir; **VEX (Vulnerability Exploitability eXchange)** desteğiyle "noise" halindeki açıkları filtreleyip gerçekten risk taşıyanlara odaklanabilir; CI/CD boru hatlarında (Github Actions, Gitlab CI, Jenkins) Trivy'yi bir "Security Gate" olarak kurgulayabilir; tarama sonuçlarını **SARIF** ve **JSON** formatlarında dışa aktararak kurumsal SIEM sistemlerine entegre edebilir ve sonuç olarak, **"Advanced DevSecOps Specialist"** yetkinliğiyle güvenli yazılım yaşam döngüsünü (SDLC) yöneten liderler haline gelirler.

EĞİTİM İÇERİĞİ

1. TRIVY ECOSYSTEM & THE MODERN THREAT LANDSCAPE

• Beyond Image Scanning: Trivy'nin çok fonksiyonlu güvenlik merkezine dönüşümü.
• Vulnerability Databases: CVE, NVD ve GitHub Advisories verilerinin nasıl işlendiği.
• Trivy Architecture: Standalone vs Client-Server çalışma modları.
• Installation Mastery: CLI, Docker, ve Kubernetes Operator kurulum stratejileri.

2. ADVANCED CONTAINER IMAGE SCANNING

• Layer-by-Layer Analysis: İmaj katmanlarındaki gizli zafiyetleri bulma.
• Distroless & Minimal Images: Paket yöneticisi olmayan imajlarda tarama teknikleri.
• Static Binary Scanning: Go ve Rust gibi statik derlenmiş dillerdeki açıkları yakalama.
• Private Registry Integration: Harbor, ECR ve ACR üzerindeki imajları güvenli tarama.

3. SBOM (SOFTWARE BILL OF MATERIALS) MASTERCLASS

• The SBOM Mandate: Neden her uygulama bir SBOM'a sahip olmalı?
• Generating SBOMs: CycloneDX ve SPDX formatlarında envanter çıkarma.
• SBOM as a Target: Hazır bir SBOM dosyasını zafiyetler için tarama teknikleri.
• Dependency Trees: Yazılım bileşenlerinin hiyerarşik ilişkilerini görselleştirme.

4. IAC SECURITY: SCANNING CONFIGURATIONS (MISCONFIG)

• Terraform Security: Bulut kaynaklarındaki (S3, IAM, VPC) zayıf noktaları tespit etme.
• Kubernetes YAML Audit: Privilege escalation, hostPath ve network policy açıklarını bulma.
• CIS Benchmark Alignment: Resmi güvenlik standartlarına (CIS) göre otomatik denetim.
• Custom Policies: OPA (Open Policy Agent) kullanarak şirkete özel kurallar yazma.

5. SECRET DETECTION & SENSITIVE DATA LEAKAGE

• Entropy Analysis: Kod içindeki yüksek entropili stringleri (keyler) yakalama.
• Trivy Secret Engine: Hazır kural setleriyle AWS, GCP ve Azure anahtarlarını bulma.
• File System Scanning: Yerel diskteki veya Git geçmişindeki sızıntıları temizleme.
• Filtering False Positives: Gerçek anahtarlar ile test verilerini ayırt etme teknikleri.

6. KUBERNETES CLUSTER & RUNTIME SECURITY

• Trivy K8s Scan: Canlı bir kümedeki tüm podları ve servisleri otonom tarama.
• Role & RBAC Auditing: Hatalı yetkilendirme ve tehlikeli rollerin tespiti.
• Admission Controller Logic: Güvenli olmayan imajların cluster'a girmesini engelleme.
• Continuous Compliance: Küme sağlığını gerçek zamanlı raporlayan dashboardlar.

7. VEX (VULNERABILITY EXPLOITABILITY EXCHANGE)

• Filtering the Noise: "Açık var ama kullanılmıyor" senaryolarını yönetme.
• VEX Files: Analiz edilmiş ve doğrulanmış açıkları ignore listelerine ekleme.
• CVSS vs Exploitability: Sadece teorik değil, pratik risklere odaklanma sanatı.
• Vulnerability Lifecycle: Bir açığın raporlanmasından yamalanmasına kadar geçen süreç.

8. CI/CD SHIELD: REINFORCING THE PIPELINE

• GitHub Actions Mastery: PR aşamasında otomatik tarama ve yorum ekleme.
• Exit Code Strategies: "Critical" bulguda build'i kırma, "Medium"da uyarı verme.
• Security Dashboards: Pipeline sonuçlarını merkezi güvenlik panellerine aktarma.
• SARIF Integration: GitHub Code Scanning ile derin entegrasyon.

9. TRIVY OPERATOR & IN-CLUSTER GOVERNANCE

• Operator Deployment: Kubernetes üzerinde otonom tarayıcı kurulumu.
• VulnerabilityReports CRD: Tarama sonuçlarını bir Kubernetes objesi olarak izleme.
• Auto-scanning Logic: Her yeni pod ayağa kalktığında otomatik tetiklenen taramalar.
• Cluster-wide Reports: Tüm kümenin güvenlik karnesini tek bir raporda birleştirme.

10. REPORTING, VISUALIZATION & COMPLIANCE

• Custom Templates: Go-template kullanarak kurumsal logolu HTML raporlar üretme.
• Prometheus Exporting: Güvenlik açıklarını bir metrik olarak izleme (Grafana).
• Compliance Mapping: Bulguları SOC2, ISO27001 ve GDPR maddeleriyle eşleme.
• SIEM Integration: JSON çıktılarını Splunk veya ELK üzerine akıtma.

EĞİTİM YÖNTEMİ

• The "Clean Registry" Mission: Kirli (zafiyet dolu) bir registry'deki 10 farklı uygulamayı, Trivy raporları eşliğinde 30 dakika içinde "Green Zone"a (temiz bölge) taşıma yarışı.
• SBOM Genealogy: Karmaşık bir Java/Python uygulamasının SBOM'unu çıkarıp, içindeki 4. derece (transitive) bağımlılıktaki kritik hatayı tespit etme dedektifliği.
• IaC Sabotage: Terraform koduna yerleştirilmiş "kötü niyetli" (örn: public database) yapılandırmaların Trivy IaC scan ile engellenmesi deneyi.
• The Pipeline Shield: Bir Github Actions boru hattını, içinde "Secret" veya "Critical Vulnerability" olan her commit'i reddedecek şekilde mühürleme pratiği.
• Operator Dashboard: Canlı bir K8s kümesine Trivy Operator kurup, tüm podların güvenlik durumunu Grafana üzerinde bir "ısı haritası" (heat-map) olarak görselleştirme çalışması.

HEDEF KİTLE

DEVSECOPS VE GÜVENLİK MÜHENDİSLERİ

• Yazılım geliştirme süreçlerini otomatize edilmiş güvenlik kontrolleriyle güçlendirmek isteyen profesyoneller.

DEVOPS VE PLATFORM MÜHENDİSLERİ

• CI/CD boru hatlarına ve Kubernetes kümelerine kesintisiz güvenlik denetimi entegre etmek isteyen uzmanlar.

YAZILIM GELİŞTİRİCİLER (SECURITY CHAMPIONS)

• Kendi kodlarındaki ve bağımlılıklarındaki açıkları daha üretim aşamasında (Shift Left) çözmek isteyen yazılımcılar.

SİBER GÜVENLİK ANALİSTLERİ

• Konteyner ve bulut ortamlarında modern zafiyet tarama ve uyumluluk denetimi araçlarını öğrenmek isteyen uzmanlar.

KATILIMCILARDAN BEKLENTİLERİMİZ

• Docker/Container Basics: İmajların ne olduğunu ve nasıl çalıştığını bilmek.
• CLI Proficiency: Terminal komutlarına ve pipe (`|`) mantığına aşina olmak.
• Kubernetes Fundamentals: Pod, Deployment ve YAML manifestleri hakkında temel bilgi.
• A Security Mindset: "Güvenlik bir engel değil, bir özelliktir" vizyonuna sahip olmak.
• Curiosity for Vulnerabilities: CVE dünyasına, paket yöneticilerine ve bağımlılıklara ilgi duymak.