\u0130\u015fletmelerin neredeyse t\u00fcm hizmetlerini mobil uygulamalar ve di\u011fer web hizmetleri arac\u0131l\u0131\u011f\u0131yla kullan\u0131ma sunmaya ba\u015flamas\u0131yla birlikte, yaz\u0131l\u0131m ve uygulamalar\u0131 g\u00fcvenli hale getirmek art\u0131k bir i\u015fletme i\u00e7in zorunluluk haline geldi. Bu y\u00fczden uygulama g\u00fcvenli\u011fi, siber sald\u0131r\u0131 tehditlerine kar\u015f\u0131 herhangi bir i\u015fletme i\u00e7in vazge\u00e7ilmezdir diyebiliriz.<\/p>\n
Peki uygulama g\u00fcvenli\u011fi tam olarak nedir?<\/p>\n
Uygulama g\u00fcvenli\u011fi <\/b>yani application security<\/b>, yaz\u0131l\u0131mdaki g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 bulma, d\u00fczeltme ve uygulamalar\u0131n g\u00fcvenli\u011fini art\u0131rma s\u00fcrecidir. Bu da uygulamalar\u0131 \u00e7ok daha g\u00fcvenli hale getirir ve sald\u0131r\u0131lara kar\u015f\u0131 korur.<\/p>\n
Uygulama g\u00fcvenli\u011fi, yaz\u0131l\u0131m geli\u015ftirme ya\u015fam d\u00f6ng\u00fcs\u00fcn\u00fcn geli\u015ftirilmesinin yan\u0131 s\u0131ra geli\u015ftirmenin de \u00f6nemli bir par\u00e7as\u0131d\u0131r ve yeni g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 tespit etmek ve tehditleri belirlemek i\u00e7in dinamik bir yakla\u015f\u0131m gerektirir.<\/p>\n
K\u00f6t\u00fc niyetli bilgisayar korsanlar\u0131 yeni sald\u0131r\u0131 y\u00f6ntemleri tasarlarken, teknolojik ortam her zaman g\u00fcvenli kalmal\u0131d\u0131r.<\/p>\n
Uygulama g\u00fcvenli\u011fi, g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 belirlemek ve bir sald\u0131r\u0131y\u0131 \u00f6nlemek i\u00e7in olu\u015fturma, test etme ve yay\u0131nlama d\u00f6ng\u00fcs\u00fcn\u00fcn her a\u015famas\u0131nda farkl\u0131 ara\u00e7lar ve y\u00f6ntemler kullanan en iyi uygulama g\u00fcvenli\u011fi uygulamalar\u0131 izlenerek sa\u011flanabilir.<\/p>\n
Veracode’un State of Software Security Vol. 10<\/a> Raporu\u2019na g\u00f6re, test edilen 85.000 uygulaman\u0131n %83’\u00fcnde en az bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 vard\u0131. Ayr\u0131ca t\u00fcm uygulamalar\u0131n %20’sinin en az bir y\u00fcksek \u00f6nem derecesine sahip kusuru bulunmaktad\u0131r.<\/p>\n Rapordan da anlayaca\u011f\u0131n\u0131z gibi herhangi bir verinin \u00e7al\u0131nmas\u0131n\u0131 veya ele ge\u00e7irilmesini \u00f6nlemek i\u00e7in uygulama d\u00fczeyinde g\u00fcvenlik gereklidir. Bu, yaz\u0131l\u0131m geli\u015ftirme ya\u015fam d\u00f6ng\u00fcs\u00fc boyunca t\u00fcm risk senaryolar\u0131n\u0131 i\u00e7erir. Uygulama g\u00fcvenlik \u00f6nlemleri<\/strong>, mevcut uygulamalara sa\u011flanan korumay\u0131 iyile\u015ftirmek i\u00e7in uygulama da\u011f\u0131t\u0131ld\u0131ktan sonra da devam eder. G\u00fcvenlik testi, g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 belirleyen ve azaltan donan\u0131m ve yaz\u0131l\u0131m tabanl\u0131 prosed\u00fcrleri kapsar. Donan\u0131m uygulama g\u00fcvenli\u011fine iyi bir \u00f6rnek, bilgisayar\u0131n IP adresini gizleyen bir y\u00f6nlendiricidir. Yaz\u0131l\u0131mla ilgili bir g\u00fcvenlik prosed\u00fcr\u00fc \u00f6rne\u011fi ise, bir uygulama g\u00fcvenlik duvar\u0131n\u0131n ne t\u00fcr etkinliklere izin verildi\u011fini veya yasakland\u0131\u011f\u0131n\u0131 tan\u0131mlamas\u0131d\u0131r.<\/p>\n Uygulama g\u00fcvenlik \u00f6nlemleri<\/b> mobil uygulamalar i\u00e7inde geli\u015ftirilir, eklenir ve test edilir. Bunlar, uygulamalar\u0131n\u0131z\u0131 de\u011fi\u015fiklik ve yetkisiz eri\u015fimden kaynaklanan hatalar gibi g\u00fcvenlik a\u00e7\u0131klar\u0131na kar\u015f\u0131 korur. Uygulama g\u00fcvenli\u011fi testinin \u00f6nemi bir\u00e7ok farkl\u0131 y\u00f6ne dayan\u0131r:<\/p>\n Bir\u00e7ok farkl\u0131 a\u011f \u00fczerinden eri\u015filebilir olmas\u0131 ve bulutlara ba\u011fl\u0131 olmas\u0131 g\u00fcvenlik tehditlerini de art\u0131r\u0131r. Uygulama g\u00fcvenlik testleri, sald\u0131r\u0131lar\u0131n \u00e7ok fazla maliyete neden olmadan \u00f6nlenebilece\u011fi zay\u0131fl\u0131klar\u0131 ortaya \u00e7\u0131kar\u0131r.<\/p>\n Bir uygulama geli\u015ftirirken, herhangi bir \u00fc\u00e7\u00fcnc\u00fc taraf kodu otomatik g\u00fcvenlik testinden ge\u00e7melidir. Harici sat\u0131c\u0131lar taraf\u0131ndan sunulan bile\u015fenlere tamam\u0131yla g\u00fcvenilemez, \u00e7\u00fcnk\u00fc bunlar\u0131n \u00e7o\u011fu a\u00e7\u0131k kaynakt\u0131r ve izole kodlar\u0131n geli\u015ftiricileri end\u00fcstri standartlar\u0131na veya g\u00fcvenlik y\u00f6nergelerine \u00e7ok fazla dikkat etmezler. Bu kodlar\u0131 taramak neredeyse her zaman d\u00fczeltilmesi gereken baz\u0131 sorunlar\u0131 ortaya \u00e7\u0131kar\u0131r.<\/p>\n Buluttaki uygulama g\u00fcvenli\u011fi farkl\u0131 zorluklar do\u011furur. Ekstra \u00f6zen, kullan\u0131c\u0131lar\u0131n sadece g\u00f6r\u00fcnt\u00fcleme yetkisine sahip olduklar\u0131 verilere eri\u015fmesini sa\u011flamal\u0131d\u0131r. Hassas veriler, s\u00fcrekli olarak ileri geri iletildi\u011fi i\u00e7in bulut tabanl\u0131 bir platformda savunmas\u0131z olma e\u011filimindedir.<\/p>\n Bulutistan Uygulama G\u00fcvenli\u011fi hizmetinin detaylar\u0131na ula\u015fmak i\u00e7in t\u0131klay\u0131n\u0131z<\/a>.<\/p>\n Uygulama g\u00fcvenli\u011fine y\u00f6nelik geleneksel veya herkese uyan tek bir yakla\u015f\u0131m yoktur. Farkl\u0131 i\u015fletmelerin farkl\u0131 g\u00fcvenlik gereksinimleri vard\u0131r. Bu y\u00fczden g\u00fcvenlik a\u00e7\u0131klar\u0131 i\u00e7in farkl\u0131 \u00e7\u00f6z\u00fcmler gerekir.<\/p>\n G\u00fcvenlik ortam\u0131n\u0131n ve farkl\u0131 da\u011f\u0131t\u0131m modellerinin incelenmesiyle birlikte sald\u0131r\u0131 y\u00fczeyinin b\u00fct\u00fcnsel bir yakla\u015f\u0131m g\u00f6r\u00fcn\u00fcm\u00fc, sa\u011flam uygulama g\u00fcvenli\u011fi geli\u015ftirmek i\u00e7in \u00e7ok \u00f6nemlidir.<\/p>\n Uygulama g\u00fcvenli\u011fi t\u00fcrler a\u015fa\u011f\u0131dakileri i\u00e7erir:<\/p>\n Kritik altyap\u0131ya ve hassas bilgilere eri\u015fim sa\u011flayan fiziksel sistemler, normalde sald\u0131r\u0131n\u0131n ilk noktas\u0131 oldu\u011fundan ve n\u00fcfuz edilmesi ve tehlikeye at\u0131lmas\u0131 kolay oldu\u011fundan, sa\u011flam bir g\u00fcvenlik yakla\u015f\u0131m\u0131 ve durum tespiti gerektirir.<\/p>\n Geli\u015ftirme a\u015famas\u0131ndaki herhangi bir uygulama, g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n test edilip giderildi\u011fi bir s\u00fcre\u00e7 gerektirir. Mobil veya a\u011f eri\u015fimi gerekti\u011finde \u015fifreleme, yerle\u015fik tasar\u0131m\u0131n bir par\u00e7as\u0131 olmal\u0131d\u0131r.<\/p>\n D\u00fc\u011f\u00fcmlerin d\u0131\u015f d\u00fcnyaya maruz kald\u0131\u011f\u0131 y\u00fczeylere, g\u00fcvenlik duvarlar\u0131 ve anti-vir\u00fcs gibi ek korumalar kurulmal\u0131d\u0131r.<\/p>\n A\u011flardaki g\u00fcvenlik a\u00e7\u0131klar\u0131 uygulamaya izinsiz giri\u015flere yol a\u00e7abilece\u011finden, genel a\u011f g\u00fcvenlik sisteminin korunmas\u0131 da birincil \u00f6neme sahiptir.<\/p>\n A\u011fa izinsiz giri\u015f ara\u00e7lar\u0131n\u0131 ve tehdit alg\u0131lama sistemlerini kullanmak, genel g\u00fcvenlik sistemini iyile\u015ftirir. Bu i\u015flev, uygulama g\u00fcvenli\u011finin iyile\u015ftirilmesi i\u00e7in s\u00fcrekli g\u00fcncellemeler ve yamalar gerektirdi\u011finden, a\u011f y\u00f6neticilerinin ve uygulama geli\u015ftiricilerinin genel sorumlulu\u011fundad\u0131r.<\/p>\n Bulut g\u00fcvenli\u011fi<\/a>, i\u015fletmeler taraf\u0131ndan tercih edilen bir da\u011f\u0131t\u0131m y\u00f6ntemidir. Bulut hizmeti sa\u011flay\u0131c\u0131lar, \u015firket i\u00e7i da\u011f\u0131t\u0131mlara k\u0131yasla platformlar\u0131n\u0131 s\u00fcrekli olarak g\u00f6zden ge\u00e7irir ve g\u00fcvenlik \u00e7\u00f6z\u00fcmlerini geli\u015ftirir. Bu nedenle \u00e7ok daha fazla tercih edilir.<\/p>\n \u0130\u015fletmelerin dahili a\u011flar\u0131 internete ba\u011fl\u0131d\u0131r ve bu da ba\u011fl\u0131 cihazlar\u0131 veya d\u00fc\u011f\u00fcmleri riske atar. Bilgisayar korsanlar\u0131, bu ba\u011fl\u0131 cihazlar\u0131 bir pivot olarak kullanabilir ve t\u00fcm a\u011f sistemini tehlikeye atabilecek daha fazla artan sald\u0131r\u0131 ba\u015flatabilir. Bu nedenle, internete maruz kalan cihaz veya uygulamalar i\u00e7in ek g\u00fcvenlik gereklidir.<\/p>\n Ara\u00e7lar\u0131n verimsiz kullan\u0131m\u0131, deneyimsiz programc\u0131lar, API ihlalleri, a\u00e7\u0131k kaynak g\u00fcvenlik a\u00e7\u0131klar\u0131 ve bir DevSecOps yakla\u015f\u0131m\u0131n\u0131n benimsenmemesi, uygulama g\u00fcvenli\u011fi i\u00e7in baz\u0131 zorluklar yarat\u0131r. Bu zorluklar\u0131n \u00fcstesinden gelmeniz i\u00e7in benimsenmeniz gereken en iyi uygulamalar a\u015fa\u011f\u0131daki \u015fekildedir:<\/p>\n Bu yakla\u015f\u0131m, geli\u015ftiricilerin sorunlar\u0131 geli\u015ftirme a\u015famas\u0131nda tan\u0131mlamas\u0131n\u0131 sa\u011flar. Zafiyetler m\u00fcmk\u00fcn olan en k\u0131sa s\u00fcrede \u00e7\u00f6z\u00fcl\u00fcr, bu da zaman ve kaynak tasarrufu sa\u011flar. Bu y\u00f6ntem, ekibin tasar\u0131mdan uygulamaya kadar t\u00fcm a\u015famalarda g\u00fcvenlik sorunlar\u0131n\u0131 belirlemesini sa\u011flar.<\/p>\n A\u00e7\u0131k kaynakl\u0131 yaz\u0131l\u0131mlar, maliyet optimizasyonu gibi ek avantajlarla birlikte gelirken, ek g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 da birlikte getirir. Bu nedenle tehditler, g\u00fcvenlik a\u00e7\u0131klar\u0131 ve g\u00fcncellemeler i\u00e7in s\u00fcrekli izleme birinci derecede \u00f6nemlidir.<\/p>\n Bir bilgisayar korsan\u0131 gibi d\u00fc\u015f\u00fcnerek, t\u00fcm riskleri ele alabilir ve g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 belirlemek i\u00e7in bunlar\u0131 de\u011ferlendirebilirsiniz. Bu y\u00fczden eri\u015filecek uygulamalar\u0131n bir listesini olu\u015fturun, tehditleri belirleyin ve bunlar\u0131 yal\u0131t\u0131n, zaman zaman ba\u011flant\u0131l\u0131 d\u00fc\u011f\u00fcmleri ve a\u00e7\u0131kta kalan y\u00fczeyleri kontrol edin ve bir sald\u0131r\u0131n\u0131n \u00fcstesinden gelmek i\u00e7in uygun g\u00fcvenlik \u00f6nlemleri al\u0131n.<\/p>\n Sald\u0131r\u0131lar daha rafine ve sofistike hale geldik\u00e7e, yaz\u0131l\u0131mlar\u0131n zaman\u0131nda g\u00fcncellenmesi ve yamalanmas\u0131, yeni g\u00fcvenlik tehditleriyle m\u00fccadelede yard\u0131mc\u0131 oldu\u011fu i\u00e7in b\u00fcy\u00fck \u00f6nem ta\u015f\u0131maktad\u0131r. Yeni yamalar\u0131n API<\/a> uyumlulu\u011fu sorunlar\u0131 veya a\u011f mimarisi uyumlulu\u011fu sorunlar\u0131 olabilece\u011finden planlama \u00f6nemlidir.<\/p>\n Hassas verileriniz veya bilgileriniz varsa, veri \u015fifreleme en iyi uygulamalardan biridir. Aktar\u0131lan veya bekleyen veriler, g\u00fc\u00e7l\u00fc \u015fifreleme algoritmalar\u0131 kullan\u0131larak \u015fifrelenmelidir.<\/p>\nWeb Uygulama G\u00fcvenli\u011fi T\u00fcrleri<\/h2>\n
1. Kritik Altyap\u0131 ve Siber G\u00fcvenlik<\/h3>\n
2. Mobil ve A\u011f Uygulama G\u00fcvenli\u011fi<\/h3>\n
3. A\u011f G\u00fcvenli\u011fi<\/h3>\n
4. Bulut G\u00fcvenli\u011fi<\/h3>\n
5. Internet of security Things<\/h3>\n
Uygulama G\u00fcvenli\u011fi i\u00e7in En \u0130yi G\u00fcvenlik Uygulamalar\u0131<\/h2>\n
1. DevSecOps Yakla\u015f\u0131m\u0131n\u0131 Benimseyin<\/h3>\n
2. A\u00e7\u0131k Kaynak G\u00fcvenlik A\u00e7\u0131klar\u0131n\u0131 Ele Al\u0131n<\/h3>\n
3. Risk De\u011ferlendirmesi Yap\u0131n<\/h3>\n
4. D\u00fczenli Olarak G\u00fcncelleyin ve Yama Yap\u0131n<\/h3>\n
5. \u015eifreleme<\/h3>\n
6. Penetrasyon Testi<\/h3>\n