SAST Süreçlerinde LLM Kullanımı
LLM’lerin sahneye çıkışıyla birlikte uygulama güvenliği dünyasında da köklü bir dönüşüm başladı. Özellikle SAST tarafında, yalnızca kodu tarayan değil, bulgu...
Furkan Turan
NPM Chalk Saldırısı ve JavaScript Malwarelerini Tarayıcıda Savunma
8 Eylül 2025’te popüler npm paketleri chalk ve debug dahil olmak üzere onlarca kütüphaneyi etkileyen büyük bir supply chain saldırısı yaşandı. Haftada 2.6 mi...
Ödeme Sayfası Güvenliği ve PCI DSS 6.4.3 & 11.6.1 Maddeleri
Ödeme sayfaları doğrudan hassas finansal bilgilere erişim sağladığı için yüksek değerli ve cazip hedeflerdir. Bu yüzden saldırganlar uzun süredir ödeme sayfa...
SAST Taramalarının Derleme Araçlarına Entegrasyonu
SAST taramalarının DevOps akışına entegrasyonu sürecinde, derleme bağımlılıklarının sağlanması önemli konulardan biridir. Derleme bağımlılıklarının başka bir...
Açık Kaynak Lisansları - Geliştirme Sürecindeki Etkileri ve Tespiti
Açık kaynak lisanslama, yazılım dünyasında yeni bir trend gibi görünse de aslında ilk yazılım lisanslama modeli olarak ortaya çıktı. 1960’ların sonunda AT&am...
API Yetkilendirme Açıkları, Bulgu Tespiti ve Test Otomasyonu - Bölüm 1
Günümüzde, modern web uygulamaları büyük ölçüde API tabanlı çalışıyor ve internet trafiğinin %90’a yakın bir kısmını API trafiği oluşturuyor. Önümüzdeki manz...
Ulaşılabilirlik Analizi (Reachability Analysis)
Ulaşılabilirlik analizi (Reachability Analysis), güvenlik açıklarını daha iyi anlamak ve önceliklendirmek için kullanılan bir yöntemdir. SAST (Statik Uygulam...
Python Projeleri İçin Açık Kaynak Araçlarla DevSecOps Pipeline Oluşturma
Bu makalede, Python projelerinde güvenliği sağlamak için açık kaynaklı araçlarla nasıl etkili bir DevSecOps pipeline oluşturabileceğinizi inceleyeceğiz. Açık...
Veritabanında Kullanılan Hatalı Hash Yöntemlerinin SAST Araçlarıyla Tespiti ve Güvenli Alternatifler
Büyük veri ihlalleri ve sızıntıları gibi olaylar sıkça gündemde. Ele geçirilen parola hashleri, zayıf algoritma ve tekniklerle oluşturulduysa, saldırganlar p...
Memory'de Açık Olarak Görünen Kritik Bilgiler ve SAST Araçlarıyla Tespiti
Bu yazıda, bir uygulamanın çalışması sırasında memory’ye yazdığı kritik bilgilerin nasıl dump edilebileceğini ve bu tür zafiyetlerin bir SAST (Static Applica...
Açık Kaynak Kod Zafiyetlerinin Devops Pipeline'ında Yönetimi ve Örnek Uygulama
Bu makalede zafiyetli Apache Struts kütüphanesi içeren örnek bir java projesini, bir SCA (Software Composition Analysis) ürünü olan Sonatype Nexus Lifecycle ...