KURUMSAL EĞİTİM, SIFIRDAN ZİRVEYE .NET GELİŞTİRİCİLERİ İÇİN SONARQUBE İLE KOD GÜVENLİĞİ
Yapay zekanın kod ürettiği çağda hız her şey değildir. SonarQube'ün "Clean as You Code" metodolojisiyle teknik borcu eritin, OWASP standartlarında SAST ve IaC taramalarıyla kodunuzu mühürleyin. Kalite Kapıları (Quality Gates) inşa ederek hatalı kodun üretime gitmesini otonom olarak engelleyin.
Eğitim Tanıtım Videosu
SonarQube mimarisinin kod güvenliğini nasıl sağladığını, SAST analizlerini ve Quality Gate mühendisliğini videomuzda inceleyin.
Clean as You Code
Geliştiricilerin sadece yeni yazdıkları koda odaklanmasını sağlayarak, devasa projelerdeki teknik borcu sistematik ve motivasyonu bozmadan yönetin.
EĞİTİM SÜRESİ, FORMATLARI VE KURUM ODAKLI YAKLAŞIM
Eğitim programlarımız, kurumunuzun hedefleri, ekip olgunluğu ve proje ihtiyaçlarına göre farklı yoğunluk seviyelerinde esnek olarak tasarlanmaktadır. Aşağıdaki formatlardan ihtiyacınıza en uygun olanı seçebilir veya tamamen özelleştirilmiş bir program talep edebilirsiniz.
- 1 Gün: Stratejik Farkındalık Semineri
- 5 Gün: Standart Teknik Eğitim Programı
- 10 Gün: Yoğun Uygulamalı (Hands-on) Eğitim
- 15-20 Gün: İleri Seviye Workshop & Proje Geliştirme Programı
- Ders Süresi: 50 dakika
- Eğitim Saatleri: 10:00 - 17:00 (İhtiyaca göre özelleştirilebilir)
Eğitimler, öğrenme verimliliğini artıracak şekilde yapılandırılmıştır. Her oturum 50 dakika eğitim + 10 dakika mola şeklinde planlanır. Gün içerisinde 12:00 - 13:00 saatleri arasında öğle arası verilir. Bu yapı ile katılımcılar, günlük ortalama 6 saat odaklı eğitim alır. Örneğin 5 günlük bir program toplamda 30 saatlik yoğun bir öğrenme deneyimi sunar.
- 1 Günlük Seminer:
Karar vericiler ve teknik ekipler için tasarlanmış bu formatta, ilgili teknolojinin temel prensipleri, sektörel etkileri ve kuruma sağlayacağı stratejik katkılar ele alınır. Amaç; farkındalık oluşturmak ve doğru yatırım kararlarını desteklemektir.- 5 Günlük Standart Program:
Konular sistematik bir şekilde ele alınır, teorik altyapı güçlü şekilde oluşturulur ve gerçek dünya senaryoları ile desteklenir. Katılımcılar; mimari yaklaşımlar, araçlar, kod yapıları ve uygulama örnekleri ile kapsamlı bir bilgi seviyesine ulaşır.- 10 Günlük Yoğun Hands-on Program:
Uygulama odaklı bu programda katılımcılar aktif olarak kod yazar, sistem kurar ve senaryolar geliştirir. Gerçek projelere yakın simülasyonlar ile öğrenme pekiştirilir. Özellikle yeni ekip kuran veya mevcut ekibini hızla yetkinleştirmek isteyen kurumlar için idealdir.- 15-20 Günlük İleri Seviye Workshop:
Katılımcılar yalnızca öğrenmez, aynı zamanda üretir. Eğitmen rehberliğinde gerçek bir sistem veya mimari geliştirilir. Ödevler, teknik değerlendirmeler ve yoğun workshop’lar ile ekiplerin ilgili teknolojiye tam hakimiyeti sağlanır. Özellikle organizasyon içinde yeni bir teknoloji dönüşümü planlayan kurumlar için önerilir.
Eğitimlerimiz uzaktan, müşteri lokasyonunda veya hibrit formatta gerçekleştirilebilir. Katılımcılar online platformlar (Microsoft Teams veya Zoom) üzerinden erişim sağlayabilir; eğitim süresince ekran paylaşımı, canlı kodlama, interaktif soru-cevap ve iş birliği araçları aktif olarak kullanılır.
Kurum ve Katılımcı Odaklı Eğitim Yaklaşımı
Her eğitim programı, standart bir içerik sunumu değil; doğrudan kurumun hedeflerine, ekip yapısına ve mevcut olgunluk seviyesine göre tasarlanan özelleştirilmiş bir öğrenme deneyimidir. Bu yaklaşım, eğitimin yalnızca bilgi aktarımı değil, ölçülebilir çıktı üretmesi amacıyla kurgulanır.
Katılımcı Profiline Göre İçerik Kurgulama
-
Yeni işe alınmış ekipler:
- Amaç: Projelere hızlı adaptasyon
- İçerik: Temel kavramlar + kurum teknolojilerine hızlı geçiş
- Odak: Hands-on uygulamalar ve gerçek proje senaryoları
-
Teknik ekipler (Developer / Senior Developer):
- Amaç: Teknik derinlik ve üretkenlik artışı
- İçerik: Best practice, kod kalitesi, performans
- Odak: Uygulamalı geliştirme ve refactoring
-
Teknik mimar ekipler:
- Amaç: Doğru mimari ile teknoloji konumlandırma
- İçerik: Sistem tasarımı, scalability, distributed architecture
- Odak: Mimari kararlar ve gerçek dünya senaryoları
-
Yönetim ve karar verici katman:
- Amaç: Teknolojinin iş hedefleri ile hizalanması
- İçerik: Strateji, ROI, risk yönetimi
- Format: Seminer / Executive briefing
Sonuç
- Hemen uygulanabilir bilgi sağlanır
- Ekiplerin adaptasyon süresi kısaltılır
- Teknik ve yönetsel hizalanma oluşturulur
Kodun Vicdanı: AI Çağında Temiz ve Güvenli Kod
Üretilen kodun çalışması, güvende olduğunuz anlamına gelmez. SonarQube, bir projenin teknik vicdanı olarak konumlanıp; hataları ve zafiyetleri henüz CI/CD boru hattında, üretime çıkmadan mühürler. Kalitesiz kodun veya altyapıdaki (IaC) güvenlik açıklarının yayına girmesi, otomatize edilmiş "Kalite Kapıları" ile imkansız hale gelir.
SAST & IaC Security
Sadece uygulama kodunu değil, Kubernetes ve Terraform gibi altyapı manifestlerindeki konfigürasyon hatalarını ve zafiyetleri de aynı potada analiz edin.
AI Code Remediation
Saptanan güvenlik açıklarını ve Code Smell bulgularını yapay zeka asistanları ile otomatik olarak onarıp (Shift-Left) zaman kazanın.
Eğitim Hedefi
Katılımcıları sadece statik metrik okuyan operatörlerden çıkarıp; kalite kapıları (Quality Gates) inşa eden, kurumsal teknik borç stratejileri geliştiren ve dikişsiz, güvenli kod tabanlarına liderlik eden birer "Code Security Architect" seviyesine taşımaktır.
Eğitim sonunda katılımcılar; SonarQube'ün Enterprise mimarisini yönetebilir, "Clean as You Code" prensibini ekiplerine benimsetebilir. SAST testleriyle OWASP zafiyetlerini (SQLi, XSS) tespit eder. Infrastructure as Code (IaC) taramalarıyla bulut altyapı hatalarını kodda yakalar. Quality Gates tasarlayarak kalitesiz kodun GitHub Actions veya Azure DevOps üzerinden CI/CD hattını geçmesini engeller. SonarLint ile hataları anında (IDE seviyesinde) çözer ve yapay zeka desteğiyle saptanan sorunları (Remediation) otomatik iyileştirirler.
Eğitim İçeriği
Clean Code Felsefesi
- Yapay Zeka Etkisi: GenAI ile üretilen kodların kalite ve güvenlik denetimi.
- Clean as You Code: Sadece yeni kod odaklı teknik borç eritme stratejisi.
- Kalite Boyutları: Bugs, Vulnerabilities, Code Smells, Duplications.
SonarQube Mimari & Kurulum
- Bileşenler: Web UI, Compute Engine ve ElasticSearch mimarisi.
- Ölçeklenebilirlik: High-availability (HA) enterprise kurulum yönetimi.
- SonarScanner: CLI, MSBuild, Maven/Gradle tarayıcıların entegrasyonu.
SAST: Kod Güvenliği Testleri
- OWASP Uyumluğu: En yaygın güvenlik açıklarının kodda mühürlenmesi.
- Security Hotspots: Manuel inceleme gerektiren gri alanların yönetimi.
- Taint Analysis: Kullanıcı girişinden (Source) veritabanına (Sink) güvenlik izleme.
IaC (Altyapı) Güvenliği
- Terraform & K8s: Bulut manifest dosyalarının konfigürasyon analizi.
- Docker Security: Konteyner imajlarındaki güvenlik hatalarını saptama.
- Cloud Risks: S3 Bucket veya ağ yetki hatalarını kod deponuzda bloklama.
Quality Profiles & Rules
- Sonar Way: Standart profiller ve şirketlere özel kural seti tasarımı.
- False Positive: Asılsız uyarıların yönetimi ve kural esnetme politikası.
- SonarLint: IDE ile sunucu arasındaki kural senkronizasyonunu sağlama.
Quality Gate Mühendisliği
- Filtre Kriterleri: %80 Test Kapsamı, 0 Zafiyet gibi katı bariyerlerin inşası.
- Build Breaker: Kalitesiz kodun üretime (Deploy) gitmesini engelleme.
- Grace Periods: Acil düzeltmeler (Hotfix) için özel kapı toleransları.
CI/CD & Branch Entegrasyonu
- GitHub Actions & ADO: Her commit anında otomatik SonarScanner tetiklemesi.
- PR Analysis: Pull Request açıldığında kod üzerine otomatik Sonar yorumları atma.
- Branch Scoping: Master/Main ve Feature dallarının kalite analizi yönetimi.
Yapay Zeka ile Onarım (AI)
- AI Remediation: Hataların yapay zeka asistanı yardımıyla saniyeler içinde çözümü.
- Smart Refactoring: Bulunan kod kokularını (smell) en iyi modern desenlerle değiştirme.
- Güvenlik Yamaları: Zafiyet onarımı esnasında AI yeteneklerinin kullanımı.
Teknik Borç ve Metrikler
- Bilişsel Karmaşıklık: Kodun okunabilirlik oranının puanlanması.
- Borç Piramidi: Uygulamanın en riskli (Hotspot) katmanlarının görselleştirilmesi.
- Duplikasyon: Copy-Paste (Kopyala-Yapıştır) kod israfının tespiti.
Kurumsal Yönetişim & Uyum
- Portföy Yönetimi: Yüzlerce mikroservisi tek dashboard üzerinden izleme.
- Uyumluluk Raporları: PCI-DSS, HIPAA gibi güvenlik standartlarına uyum.
- RBAC Yönetimi: Kurumsal yetkilendirme ve kalite raporlarına erişim denetimi.
Eğitim Metodolojimiz
- The Quality Gate Siege: Katılımcıların kasti olarak hatalı ve güvensiz kod (SQLi vb.) yazdığı; kurduğumuz Quality Gate'in bu kodu yakalayıp CI/CD boru hattını (Build Breaker) canlı olarak durdurduğu uygulamalı simülasyon.
- The Legacy Debt Surgery: 10 yıllık, spagetti kodlu dev bir "Legacy" projenin SonarQube'e aktarılması ve tespit edilen kritik teknik borçların AI Asistanı yardımıyla 30 dakikada düzeltilmesi.
- IaC Security Drill: Güvensiz bir Terraform dosyası taranarak "Açık S3 Bucket" veya "Dışa Açık Veritabanı Portu" hatasının kod bazında anında saptanıp mühürlenmesi pratiği.
- PR Review Challenge: GitHub üzerinden oluşturulan Pull Request'lere SonarQube'ün otonom yorum bırakma (Decorator) mekanizmasının denenmesi.
Hedef Kitle
Yazılım Mimarları & Teknik Liderler
Teknik borcu yönetmek, proje kalite standartlarını dizayn etmek ve sürdürülebilir mimariler kurmak isteyen yöneticiler.
DevSecOps & CI/CD Mühendisleri
Yazılım otomasyon hatlarına (Pipeline) SAST ve IaC taramalarını dikişsiz bir güvenlik filtresi (Quality Gate) olarak ekleyen uzmanlar.
Uygulama Güvenliği (AppSec)
Siber güvenlik denetimini Shift-Left mantığıyla kod daha sunucuya çıkmadan, statik kod analizi üzerinden otomatize edenler.
Kıdemli Yazılım Geliştiriciler
"Clean as You Code" prensibini özümseyip, SonarLint ile kendi kodunu anlık test eden ve hataları AI ile optimize eden mühendisler.
Katılımcılardan Beklentilerimiz
- Yazılım Geliştirme Tecrübesi: C#, Java, Python, JS/TS gibi herhangi bir dilde aktif olarak kod geliştirme bilgisi.
- CI/CD Farkındalığı: GitHub Actions, Azure DevOps veya Jenkins gibi bir otomasyon aracının temel çalışma (Build/Deploy) mantığını anlama.
- Clean Code Vizyonu: "Kod sadece çalışsın yeter" algısından ziyade, teknik borç kavramının yıkıcılığını deneyimlemiş olmak.
- Güvenlik Merakı: OWASP standartları, SQL Injection veya Cross-Site Scripting gibi temel yazılım zafiyetlerine karşı meraklı olmak.
Bu bölüm; SonarQube'ün CI/CD Entegrasyonu, API tabanlı Quality Gate bariyeri (Build Breaker) ve SAST test analiz prensipleri için yapılandırılmış referans kodlar içerir.
SonarScanner Entegrasyonu (.NET)
Her Pull Request'te kodu otomatik derleyen ve SonarQube sunucusuna analiz raporunu gönderen güvenli YAML Workflow dosyası.
name: SonarQube Code Quality
on: [push, pull_request]
jobs:
build:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: SonarScanner for .NET
run: |
dotnet-sonarscanner begin /k:"vebende-api" /d:sonar.login="${{ secrets.SONAR_TOKEN }}"
dotnet build
dotnet-sonarscanner end /d:sonar.login="${{ secrets.SONAR_TOKEN }}"API Based Build Breaker (Python)
SonarQube API'sini sorgulayarak "Quality Gate" geçilemediğinde CI/CD otomasyonunu derhal durduran (Break the Build) kontrol scripti.
import requests, sys
# Quality Gate kontrolü: FAILED ise CI/CD pipeline'ı kırılır.
def enforce_quality_gate(project_key, token):
url = f"https://sonar.vebende.com/api/qualitygates/project_status?projectKey={project_key}"
resp = requests.get(url, auth=(token, ''))
status = resp.json()['projectStatus']['status']
if status != 'OK':
print(f"HATA: Quality Gate {status} durumunda. Kod kalite kriterleri sağlanamadı!")
sys.exit(1) # Pipeline Durduruldu
print("BAŞARILI: Kod kalitesi ve güvenlik mühürlendi.")
enforce_quality_gate("vebende-api", "xxxx")SAST & IaC Security Asistan Promptu
Yazılım ve altyapı kodlarındaki OWASP zafiyetlerini (Hotspots) LLM ile önceden taratıp onarımını yaptıran güvenlik promptu.
Sen bir "Lead Code Security Engineer" ve SonarQube SAST uzmanısın.
Aşağıdaki kodu (C# / Java veya Terraform) analiz et:
[kod_buraya]
Şu prensiplere göre eleştir ve güvenlik onarımı (Remediation) yap:
1. Taint Analysis: Dış dünyadan (kullanıcı girdisi) alınan veri sanitize edilmeden bir SQL sorgusuna veya HTML çıktısına (XSS) yansıtılmış mı?
2. IaC Security: Eğer bu bir Dockerfile veya Terraform ise; container root yetkisiyle mi çalışıyor? Güvenlik gruplarında (SG) 0.0.0.0'a açık tehlikeli portlar var mı?
3. Clean as You Code: Saptanan kod kokularını (smell) en güncel temiz kod pratikleriyle düzelt.Aradığınız Eğitimi Bulduğunuzu Düşünüyorsanız!
Kurumsal eğitim programlarımız, sektörün en güncel ve kritik teknoloji trendlerinde yetkinlik kazanmanız amacıyla lider seviyede yapılandırıldı. Küresel 1-10 değerlendirme sistemlerinde 9.5 ve üzeri memnuniyet puanı alan eğitim içeriklerimiz, ekibinize pratik yetkinlik kazandırmak için tasarlandı.
25 yılı aşkın eğitim sektörü birikimimizi, küresel savunma sanayii ve kurumsal DevOps/Siber Güvenlik danışmanlığı tecrübelerimizle harmanlıyoruz. Ekiplerinizin ihtiyaç duyduğu pratik becerileri, tamamen kuruma özel özgün laboratuvar senaryolarıyla destekleyerek sunuyoruz.
Eğitimin ardından tüm katılımcılara özel GitHub depoları üzerinden hazır çalışma ortamları (labs) ve hayat boyu erişebilecekleri dokümantasyon kütüphanesi açılmaktadır. Kurumsal hedeflerinizi uzmanlığımızla gerçeğe dönüştürün.
Eksiksiz Eğitim Kataloğu
Hands-on Kurumsal Eğitim, Workshop ve Turquality Programları
Tüm eğitimlerimiz, 35 yıllık mühendislik deneyiminin süzgecinden geçmiş, tamamen gerçek dünya senaryolarına (Case Study) dayalı ve hands-on (uygulamalı) olarak sunulmaktadır. Materyaller Git üzerinden dinamik olarak paylaşılır ve katılımcı ihtiyaçlarına göre özelleştirilmiş danışmanlık katmanı içerir.
Yapay Zeka, Üretken AI ve AGI Stratejileri
Genel Yapay Zeka (AGI) vizyonundan otonom ajan mimarilerine, kurumsal RAG ve Fine-Tuning stratejilerinden açıklanabilir AI standartlarına uzanan derinlemesine programlar.
DevOps, Kubernetes ve Platform Otomasyonu
Cloud-native altyapıların kurulumu, orkestrasyonu ve yönetiminde endüstriyel standartlar (NIST, CNCF) ile yüksek erişilebilirlik çözümleri.
Siber Güvenlik, DevSecOps ve Defansif Teknolojiler
Yazılım yaşam döngüsünün her aşamasında güvenlik (Security by Design), siber farkındalık ve kurumsal SOC operasyonları uzmanlığı.
Blockchain, Web3 ve Akıllı Sözleşme Geliştirme
Merkeziyetsiz internet (Web3) ekosisteminde; DAO yapıları, NFT mülkiyeti ve Solidity ile güvenli kontrat geliştirme uzmanlığı.
Yazılım Mimarisi, Big Data ve Veri Yönetimi
Event-driven sistemler, mikroservis modernizasyonu ve yüksek trafikli projelerin mimari tasarımı ve optimizasyonu.
Mikroservis Yazılım Üretimi ve Programlama Dilleri
Çok dilli (Polyglot) geliştirme ortamlarında mikroservis tasarımı, asenkron programlama ve temiz kod standartları.
Proje Yönetimi, Agile ve SAFe Metodolojileri
Kurumsal çevikliğin (Business Agility) sağlanmasında; Scrum, Kanban ve SAFe framework'lerinin uygulanması ve PMP standartları.
Teknik Workshop ve Derin Dalış (Deep Dive) Seansları
Spesifik mühendislik problemlerine odaklanan, kısa süreli ancak yoğun uygulama içeren laboratuvar çalışmaları.
Turquality ve Kurumsal Gelişim Programları
Globalleşen kurumlar için Turquality standartlarında teknoloji modernizasyonu, dijital dönüşüm ve stratejik yönetim eğitimleri.
Tüm Workshoplar Sizin İçin Özel Hazırlananan Kurumsal Workshoplarımız
Workshoplar konuların 360 derece açıdan ele alındığı, konuların derinlemesine işlendiği, handsonlar ile katılımcıların birlikte çalışma fırsatı bulduğu en kapsamlı eğitim formatımızdır.
Tüm Seminerlerimiz Sizin İçin Özel Hazırlananan Kurumsal Seminerlerimiz
Tüm seminerlerimiz sizin senaryolarınız ve ihtiyaçlarınız için size özel hazırlanır. Katılımcı profiline uygun özel örnekler ve katılımı teşvik edecek özel içerikler ile zenginleştirilir.