KURUMSAL EĞİTİM, YAZILIMCILAR İÇİN SİBER GÜVENLİK EĞİTİMİ

KODU MÜHÜREMEMLİSİNİZ: YAZILIMCILAR İÇİN SİBER GÜVENLİK MASTERCLASS (2026)

2026 yılında, güvenliği sağlam olmayan bir kod "bitmiş" kabul edilmez. **Yazılımcılar İçin Siber Güvenlik** eğitimi, geliştiricileri sadece özellik (feature) üreten mühendislerden; güvenliği kodun her satırına dikişsizce işleyen "Secure Architects" seviyesine taşır. Artık sızma testlerinden geçmek bir başarı değil, bir mühendislik standardıdır. Zafiyetleri production'da bulmak yerine, onları daha klavyeden çıkmadan engelleme sanatını öğretiyoruz.

Programımızın odak noktası olan **Shift-Left Security** ve **AI-Destekli Güvenlik Analizi** ile geliştiricilerin kendi kodlarını birer denetçi gibi incelemesini sağlıyoruz. LLM'lerin ve ileri seviye statik analiz araçlarının (SAST), mantıksal hataları ve "state-machine" zafiyetlerini henüz derleme aşamasında nasıl yakaladığını görüyoruz. **OWASP Top 10 (2026 Versiyonu)** üzerinden en sofistike saldırı vektörlerine karşı bağışıklık kazanıyoruz.

Kimlik, yeni güvenlik çevresidir (perimeter). **OAuth 2.1, Passkeys ve OIDC** standartlarına derin dalış yaparak, modern kimlik doğrulama mimarilerini dikişsizce kurgulamayı öğreniyoruz. Ayrıca, **Yazılım Tedarik Zinciri Güvenliği (SBOM - Software Bill of Materials)** modülümüzde, üçüncü parti kütüphanelerin "gizli" tehlikelerini nasıl yönetip mühürleyeceğinizi, uygulamanızın en küçük bağımlılığında dahi sarsılmaz bir güven inşa etmeyi gösteriyoruz.

Vebende Akademi'nin bu yoğunlaştırılmış programı, uygulama geliştirme (App-Dev) ile uygulama güvenliği (App-Sec) arasındaki boşluğu kapatır. **GraphQL/gRPC Hardening**, **Zero Trust Uygulama Mimarisi** ve **Secrets Management (Vault)** gibi ileri düzey konuları içeren bu masterclass; sizi 2026'nın en karmaşık siber saldırılarına karşı koyabilen "Cyber-Resilient Developer" seviyesine ulaştırır. Yazdığınız kod, dijital bir kale olsun.

EĞİTİM HEDEFİ

Eğitim sonunda katılımcılar; modern güvenli kodlama standartlarını (OWASP 2026) tüm projelerinde uygulayabilir; **AI-Destekli Kod Denetim** araçlarını kullanarak zafiyetleri anlık tespit edip giderebilir; **OAuth 2.1, OIDC ve PKCE** protokolleriyle sarsılmaz kimlik yönetim sistemleri kurabilir; **SBOM (Software Bill of Materials)** yönetimiyle tedarik zinciri saldırılarını (SCA) engelleyebilir; **Zero Trust** prensiplerini uygulama mimarisinin her katmanına (Micro-segmentation) yayabilir; **GraphQL, gRPC ve REST** servislerini ileri düzey tekniklerle sıkılaştırabilir (hardening); hassas verileri ve sırları (secrets) profesyonel araçlarla (Vault/Cloud Key Vault) yönetebilir; yazılım projelerini en baştan **KVKK/GDPR 2026** uyumlu (Privacy by Design) geliştirebilir ve sonuç olarak, **"Secure Professional Software Engineer"** yetkinliğiyle kurumunun dijital varlıklarını kod seviyesinde koruyabilirler.

EĞİTİM İÇERİĞİ

1. THE SECURE DEVELOPER 2026: SECURITY-AS-CODE & SSDLC

• DevSecOps Integration: Güvenliğin CI/CD boru hattına "Quality Gate" olarak entegrasyonu.
• Threat Modeling for Devs: Tasarım aşamasında STRIDE ile saldırı yüzeyi analizi.
• Shift-Left Mastery: Güvenliği geliştiricinin sorumluluk alanına taşıma stratejileri.
• Compliance in Code: Standartlara (ISO 27001, SOC2) uygun kodlama kültürü.

2. OWASP TOP 10 (2026 EDITION): DEEP-DIVE FOR DEVS

• Broken Access Control: Yetkilendirme mantık hataları ve .NET/Python/Go örnekleri.
• Cryptographic Failures: 2026 standartlarında modern şifreleme ve zayıf algoritmalar.
• Injection 2.0: Sadece SQL değil, NoSQL, OS ve Template Injection savunmaları.
• Identification & Auth Failures: Session fixation'dan credential stuffing'e korunma.

3. AI-POWERED CODE AUDIT: REAL-TIME SECURITY ANALYSIS

• LLM as a Security Auditor: AI modelleriyle kod zafiyeti ve mantık hatası tarama.
• Advanced SAST/DAST Tooling: Modern analiz araçlarının (Sonar, Checkmarx) konfigürasyonu.
• Automated Remediation: AI önerileriyle güvenlik yamalarının otomatik uygulanması.
• Vulnerability Management: Tespit edilen açıkların önceliklendirilmesi ve takibi.

4. IDENTITY & AUTHENTICATION 2.1: BEYOND PASSWORDS

• Passkeys & WebAuthn: Parolasız dünya (Passwordless) ve biyometrik teyit mimarisi.
• OAuth 2.1 & OIDC: Modern yetkilendirme akışları ve PKCE protokolü.
• JWT Security: JWE (Encryption) ve JWS (Signing) ile mühürlenmiş tokenlar.
• Centralized Identity: Azure AD, Keycloak ve Auth0 entegrasyon stratejileri.

5. SUPPLY CHAIN SECURITY: SBOM & SCA MASTERING

• SBOM Factory: Projenin "Yazılım Reçetesini" (SBOM) otomatik üretme ve dökümante etme.
• Dependency Firewalls: Bağımlılıkların (NuGet, NPM, PyPI) güvenlik denetimi (SCA).
• Package Signature Verification: Kod imzalamanın ve dürüstlük kontrollerinin önemi.
• Vulnerable Library Mitigation: Zafiyet içeren kütüphaneleri dikişsizce değiştirme/yama yapma.

6. API HARDENING: GRAPHQL, GRPC & REST GATEWAYS

• GraphQL Insecurity: Query depth limiting ve introspection saldırılarını engelleme.
• gRPC Security: TLS ve Token tabanlı mühürlenmiş servis haberleşmesi.
• API Gateway Logic: Throttling, Rate Limiting ve Payload Validation katmanları.
• Broken Object Level Authorization (BOLA): Nesne bazlı yetki açıklarının tespiti.

7. ZERO TRUST FOR DEVELOPERS: MICRO-SEGMENTATION

• Never Trust, Always Verify: Uygulama içi servisler arası dikişsiz doğrulama.
• M-TLS Integration: Mikroservisler arası çift taraflı sertifika doğrulama.
• Identity-Aware Proxies: Bağlam duyarlı (context-aware) erişim kontrolü.
• Network Isolation at App Level: Uygulama katmanında ağ yalıtımı prensipleri.

8. SECRETS MANAGEMENT: MASTERING VAULT

• Eliminating Hardcoded Secrets: Kodun içindeki şifreleri ve anahtarları yok etme.
• Dynamic Secrets: Sadece o an üretilen ve süresi bitince yok olan veri tabanı şifreleri.
• Vault & Cloud Key Vault: Merkezi sır saklama çözümlerinin API entegrasyonu.
• Secret Injection in K8s: Deployment anında "Sidecar" ile güvenli sır aktarımı.

9. DATA PRIVACY ENGINEERING: KVKK/GDPR BY DESIGN

• Privacy by Design: Veri toplamadan önce anonimleştirme ve maskeleme kurgusu.
• Encryption at Rest & Transit: Veriyi her durumda (dururken ve taşırken) şifreleme.
• Data Minimization: Sadece iş için gerekli olan veriyi alma ve saklama ilkesi.
• 2026 Compliance: Yeni nesil regülasyonlara uygun veritabanı şemaları ve loglama.

10. DEFENSIVE PROGRAMMING: STATE MACHINES & LOGS

• Exception Safety: Hata durumlarında sızıntı (information leakage) vermeyen yönetim.
• Secure State Management: Durum geçişlerinde (state-flow) yetki ve kontrol mühürleme.
• Audit Logging: Adli bilişim (Forensics) için silinemez ve değiştirilemez log kurgusu.
• Capstone: Kendi "Sarsılmaz Uygulamanı" geliştir ve sızma testinden geçir.

EĞİTİM YÖNTEMİ

• The AI Red-Teamer: Katılımcıların yazdığı kodu, gelişmiş bir LLM "Red-Team" botuna karşı savunmaya çalıştıkları, botun zafiyetleri bulup exploit etmeye çalıştığı interaktif düello.
• "Break the API" Laboratory: GraphQL ve REST API içeren bir sistemin, BOLA ve Rate Limiting açıklarını bulup ardından "Hardening" teknikleriyle mühürlediğiniz "Kır ve Onar" seansı.
• Supply Chain Sabotage: Bir projenin derinliklerindeki masum görünümlü bir kütüphanenin siber saldırı başlattığı senaryoda, SBOM ile bu "zehirli" bağımlılığı bulma ve izole etme tatbikatı.
• Secrets Hunt & Vault Migration: Kod deposundaki tüm şifreleri otomatik araçlarla temizleyip, sistemi HashiCorp Vault veya Azure Key Vault mimarisine taşıdığınız "Zero-Secret" atölyesi.
• Secure Coding Challenge: OWASP Top 10 açıklarını içeren "vulnerable" bir web sitesini, en yeni siber güvenlik kütüphaneleriyle sarsılmaz bir kaleye dönüştürdüğünüz final maratonu.

HEDEF KİTLE

YAZILIM GELİŞTİRİCİLER (BACKEND/FRONTEND/FULLSTACK)

• Kariyerini "Senior Secure Developer" seviyesine taşımak, kod kalitesini siber güvenlik vizyonuyla taçlandırmak isteyen profesyoneller.

TECH LEADS VE YAZILIM MİMARLARI

• Projelerin mimari aşamasından itibaren güvenliği tasarlamak (Security by Design) ve ekiplerine rehberlik etmek isteyen lider mühendisler.

DEVOPS VE SITE RELIABILITY ENGINEERS (SRE)

• CI/CD boru hatlarında güvenlik otomasyonunu (DevSecOps) ve altyapı güvenliğini uygulama katmanında yönetmek isteyen uzmanlar.

JUNIOR SİBER GÜVENLİK ANALİSTLERİ

• Uygulama güvenliği (AppSec) alanında uzmanlaşmak ve zafiyetlerin kod seviyesindeki kök nedenlerini derinlemesine anlamak isteyenler.

KATILIMCILARDAN BEKLENTİLERİMİZ

• Programming Proficiency: En az bir programlama dilinde (.NET/C#, Python, Java, JS veya Go) profesyonel seviyede kod yazabiliyor olmak.
• Web Architecture knowledge: HTTP protokolü, RESTful API yapısı ve istemci-sunucu haberleşmesi üzerine temel teknik hakimiyet.
• Database Familiarity: SQL veya NoSQL veri tabanı sorgulama mantığına ve veri modelleme kavramlarına aşinalık.
• Growth Mindset: Kendi kodunda hata bulmaktan çekinmeyen, eleştirel düşünebilen ve sürekli iyileştirme azmine sahip olma.
• Basic OS & CLI mastery: Terminal/Console komutlarına hakimiyet ve yazılımın "nasıl çalıştığını" merak eden teknik vizyon.