Yapay zeka alan\u0131nda ya\u015fanan patlama ve a\u00e7\u0131k kaynak bile\u015fenlere olan ba\u011f\u0131ml\u0131l\u0131\u011f\u0131n artmas\u0131, \u015firketlerin g\u00fcvenlik y\u00fck\u00fcn\u00fc nas\u0131l art\u0131r\u0131yor ve bu konuda neler yapabilirsiniz?<\/p>\n
Eskiden a\u00e7\u0131k kaynakl\u0131 g\u00fcvenlik a\u00e7\u0131klar\u0131 ve tedarik zinciri sald\u0131r\u0131lar\u0131 konusunda sadece uzman yaz\u0131l\u0131m \u015firketleri ve teknoloji devleri endi\u015felenmek zorunda kal\u0131rd\u0131. Ama zaman de\u011fi\u015fti. G\u00fcn\u00fcm\u00fczde k\u00fc\u00e7\u00fck i\u015fletmeler bile kendi yaz\u0131l\u0131m geli\u015ftirme birimlerini i\u015fletiyor; bu da bu sorunun herkes i\u00e7in \u00f6nem arz etti\u011fini g\u00f6steriyor. Her iki \u015firketten birinin<\/a> i\u00e7 BT ekipleri, ana faaliyet alan\u0131 yaz\u0131l\u0131mla ilgili olmasa bile; kod yazmak, entegrasyonlar\u0131 yap\u0131land\u0131rmak ve i\u015f ak\u0131\u015flar\u0131n\u0131 otomatikle\u015ftirmekle me\u015fgul zira modern i\u015f d\u00fcnyas\u0131n\u0131n verimlili\u011fi bunu gerektiriyor. Ancak bunun bir sonucu olarak, yeni bir t\u00fcr yaz\u0131l\u0131m g\u00fcvenlik a\u00e7\u0131\u011f\u0131 ortaya \u00e7\u0131k\u0131yor ve bu t\u00fcr g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 gidermek, sadece en son Windows g\u00fcncellemesini y\u00fcklemekten \u00e7ok daha karma\u015f\u0131k bir i\u015f.<\/p>\n Modern yaz\u0131l\u0131m geli\u015ftirme, a\u00e7\u0131k kaynakl\u0131 bile\u015fenlerden ayr\u0131 d\u00fc\u015f\u00fcn\u00fclemez. Ancak, son y\u0131llarda bu konuyla ilgili riskler, hem \u00e7e\u015fitlilik hem de karma\u015f\u0131kl\u0131k a\u00e7\u0131s\u0131ndan, h\u0131zla artm\u0131\u015ft\u0131r: Pop\u00fcler depolara k\u00f6t\u00fc ama\u00e7l\u0131 kodlar\u0131n yerle\u015ftirildi\u011fini, g\u00fcvenlik a\u00e7\u0131\u011f\u0131 verilerinin da\u011f\u0131n\u0131k ve hatal\u0131 oldu\u011funu, g\u00fcncel olmayan ve g\u00fcvenlik a\u00e7\u0131\u011f\u0131 bulunan bile\u015fenlerin sistematik olarak kullan\u0131ld\u0131\u011f\u0131n\u0131 ve ba\u011f\u0131ml\u0131l\u0131k zincirlerinin giderek daha karma\u015f\u0131k hale geldi\u011fini g\u00f6r\u00fcyoruz.<\/p>\n Kurulu\u015funuzun \u00fc\u00e7\u00fcnc\u00fc taraf ticari yaz\u0131l\u0131mlar i\u00e7in son derece sa\u011flam bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 y\u00f6netimi s\u00fcreci<\/a> olsa bile, a\u00e7\u0131k kaynak kodun bu s\u00fcrecin tamamen yeniden d\u00fczenlenmesini gerektirdi\u011fini g\u00f6receksiniz. A\u00e7\u0131k kaynak s\u00f6z konusu oldu\u011funda, en yayg\u0131n olarak kullan\u0131lan kamuya a\u00e7\u0131k veri tabanlar\u0131 genellikle eksik, hatal\u0131 ya da g\u00fcncellemelerin gelmesi konusunda olduk\u00e7a yava\u015ft\u0131r. Bu durum, g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n \u00f6nceliklendirilmesini bir tahmin oyununa d\u00f6n\u00fc\u015ft\u00fcr\u00fcr. Temel verileriniz eksikliklerle doluysa, ne kadar otomasyon kullan\u0131rsan\u0131z kullan\u0131n bir faydas\u0131 olmaz.<\/p>\n Sonatype\u2019\u0131n verilerine g\u00f6re, CVE kimli\u011fi atanm\u0131\u015f a\u00e7\u0131k kaynakl\u0131 g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n yakla\u015f\u0131k %65\u2019inin<\/a>, en yayg\u0131n olarak kullan\u0131lan g\u00fcvenlik a\u00e7\u0131\u011f\u0131 bilgi taban\u0131 olan NVD\u2019de \u00f6nem puan\u0131<\/a> (CVSS) bulunmamaktad\u0131r. Puanlanmam\u0131\u015f bu g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n yakla\u015f\u0131k %46\u2019s\u0131, do\u011fru bir \u015fekilde analiz edildi\u011finde asl\u0131nda \u201cY\u00fcksek\u201d olarak s\u0131n\u0131fland\u0131r\u0131l\u0131rd\u0131.<\/p>\n CVSS puan\u0131 mevcut olsa bile, farkl\u0131 kaynaklar \u00f6nem derecesi konusunda yaln\u0131zca yakla\u015f\u0131k %55 oran\u0131nda ayn\u0131 g\u00f6r\u00fc\u015fte. Bir veri taban\u0131 bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 \u201cKritik\u201d olarak i\u015faretlerken, bir di\u011feri buna \u201cOrta\u201d derecesi verebilir. Etkilenen paket s\u00fcr\u00fcmleri gibi daha ayr\u0131nt\u0131l\u0131 meta veriler de genellikle hatalar ve tutars\u0131zl\u0131klarla doludur. Yaz\u0131l\u0131m s\u00fcr\u00fcmlerini kar\u015f\u0131la\u015ft\u0131ran g\u00fcvenlik a\u00e7\u0131\u011f\u0131 taray\u0131c\u0131lar\u0131n\u0131z, hatal\u0131 pozitif sonu\u00e7larla bo\u015f alarmlar verir ya da size haks\u0131z yere her \u015feyin yolunda oldu\u011fu izlenimini yarat\u0131r.<\/p>\n K\u0131r\u0131lganl\u0131k verilerindeki eksiklik giderek artmakta ve raporlama s\u00fcreci yava\u015flamaktad\u0131r. Son be\u015f y\u0131l i\u00e7inde CVE\u2019lerin toplam say\u0131s\u0131 iki kat\u0131na \u00e7\u0131karken, \u00f6nem puan\u0131 bulunmayan CVE\u2019lerin say\u0131s\u0131 37 kat\u0131na \u00e7\u0131kt\u0131. Tenable\u2019a g\u00f6re, 2025 y\u0131l\u0131na kadar, bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131n ke\u015ffedilmesinden itibaren genellikle bir hafta i\u00e7inde<\/a> kamuya a\u00e7\u0131k kavram kan\u0131t\u0131 (PoC) istismar kodu ortaya \u00e7\u0131kmaktayd\u0131; ancak ayn\u0131 g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131n NVD\u2019ye eklenmesi ortalama 15 g\u00fcn s\u00fcrmekteydi. CVSS puan\u0131 atama gibi zenginle\u015ftirme s\u00fcre\u00e7leri ise daha da yava\u015ft\u0131r. Ayn\u0131 ara\u015ft\u0131rmada<\/a> Sonatype, bir CVSS puan\u0131 atamak i\u00e7in gereken s\u00fcrenin ortalamas\u0131n\u0131n 41 g\u00fcn oldu\u011funu ve baz\u0131 kusurlar\u0131n bir y\u0131la kadar derecelendirilmeden kald\u0131\u011f\u0131n\u0131 tahmin etmektedir.<\/p>\n HeroDevs\u2019e g\u00f6re, art\u0131k desteklenmeyen (terk edilmi\u015f ya da resmi kullan\u0131m \u00f6mr\u00fc (EOL) \u00e7oktan dolmu\u015f olan) k\u00fct\u00fcphaneler, uygulamalar ve hizmetler, kurumsal projelerin %5 ila %15\u2019inde<\/a> bulunabilir. Be\u015f pop\u00fcler a\u00e7\u0131k kaynak kod deposunda, bilinen g\u00fcvenlik a\u00e7\u0131klar\u0131 i\u00e7eren ancak g\u00fcncel olmayan ve desteklenmeyen s\u00fcr\u00fcmlere ait en az 81.000 paket bulunmaktad\u0131r. Bu paketler hi\u00e7bir zaman resmi yamalar almayacakt\u0131r. Bu \u201ceski y\u00fck\u201d, Maven Central ve PyPI\u2019daki paketlerin yakla\u015f\u0131k %10\u2019unu, npm\u2019de ise \u015fa\u015f\u0131rt\u0131c\u0131 bir \u015fekilde %25\u2019ini olu\u015fturmaktad\u0131r.<\/p>\n Bu t\u00fcr a\u00e7\u0131k kaynak kodlar\u0131n\u0131n kullan\u0131lmas\u0131, standart yama y\u00f6netimi d\u00f6ng\u00fcs\u00fcn\u00fc bozar: Art\u0131k desteklenmeyen bir ba\u011f\u0131ml\u0131l\u0131\u011f\u0131 ne otomatik ne de manuel olarak g\u00fcncelleyemezsiniz. Ayr\u0131ca, kullan\u0131m \u00f6mr\u00fc sona ermi\u015f s\u00fcr\u00fcmler resmi g\u00fcvenlik a\u00e7\u0131\u011f\u0131 b\u00fcltenlerinde yer almad\u0131\u011f\u0131nda, g\u00fcvenlik taray\u0131c\u0131lar\u0131 bu s\u00fcr\u00fcmleri bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131ndan \u201cetkilenmemi\u015f\u201d olarak s\u0131n\u0131fland\u0131rabilir ve g\u00f6z ard\u0131 edebilir.<\/p>\n Bunun en iyi \u00f6rne\u011fi, 2021 y\u0131l\u0131nda ortaya \u00e7\u0131kar\u0131lan pop\u00fcler Log4j k\u00fct\u00fcphanesindeki kritik (CVSS 10) g\u00fcvenlik a\u00e7\u0131\u011f\u0131 olan Log4Shell<\/a>\u2018dir. 2025 y\u0131l\u0131nda ger\u00e7ekle\u015ftirilen 300 milyon Log4j indiriminin 40 milyonu, g\u00fcvenlik a\u00e7\u0131\u011f\u0131 bulunan s\u00fcr\u00fcme aitti<\/a>. Tarihin en k\u00f6t\u00fc \u015f\u00f6hretli ve en \u00e7ok haberlere konu olan g\u00fcvenlik a\u00e7\u0131klar\u0131ndan birinden bahsetti\u011fimizi unutmay\u0131n. Bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131 aktif olarak istismar edildi, geli\u015ftirici taraf\u0131ndan yamaland\u0131 ve t\u00fcm \u00f6nemli alt \u00fcr\u00fcnlerde giderildi. Daha az g\u00fcndeme gelen kusurlar s\u00f6z konusu oldu\u011funda durum \u00e7ok daha vahimdir.<\/p>\n Bu sorunu daha da a\u011f\u0131rla\u015ft\u0131ran \u015fey, g\u00f6r\u00fcn\u00fcrl\u00fck eksikli\u011fidir. Bir\u00e7ok kurulu\u015f, eksiksiz bir ba\u011f\u0131ml\u0131l\u0131k a\u011fac\u0131 olu\u015fturmak veya yaz\u0131l\u0131m y\u0131\u011f\u0131n\u0131nda yerle\u015fik olan belirli paketler ve s\u00fcr\u00fcmler hakk\u0131nda tam bir g\u00f6r\u00fcn\u00fcrl\u00fck elde etmek i\u00e7in gerekli ara\u00e7lara sahip de\u011fildir. Sonu\u00e7 olarak, bu eski bile\u015fenler genellikle g\u00f6zden ka\u00e7ar ve d\u00fczeltme kuyru\u011funa hi\u00e7 girmezler.<\/p>\n Vir\u00fcs bula\u015fm\u0131\u015f veya do\u011fas\u0131 gere\u011fi zararl\u0131 a\u00e7\u0131k kaynakl\u0131 paketlerin kullan\u0131ld\u0131\u011f\u0131 sald\u0131r\u0131lar, yaz\u0131l\u0131m tedarik zincirine y\u00f6nelik en h\u0131zl\u0131 b\u00fcy\u00fcyen tehditlerden biri haline gelmi\u015ftir. Kaspersky ara\u015ft\u0131rmac\u0131lar\u0131na<\/a> g\u00f6re, 2024 y\u0131l\u0131 sonuna kadar pop\u00fcler kay\u0131t defterlerinde yakla\u015f\u0131k 14.000 zararl\u0131 paket tespit edildi; bu, bir \u00f6nceki y\u0131la g\u00f6re %48\u2019lik bir art\u0131\u015fa tekab\u00fcl etmektedir. Sonatype, 2025 y\u0131l\u0131 boyunca daha da \u00e7arp\u0131c\u0131 bir art\u0131\u015f kaydetti\u011fini bildirdi; 450.000\u2019den fazla k\u00f6t\u00fc ama\u00e7l\u0131 paket tespit etti.<\/p>\n Bu sald\u0131r\u0131lar\u0131n ard\u0131ndaki nedenler olduk\u00e7a \u00e7e\u015fitlidir: kripto para h\u0131rs\u0131zl\u0131\u011f\u0131, geli\u015ftirici kimlik bilgilerinin ele ge\u00e7irilmesi, end\u00fcstriyel casusluk, CI\/CD s\u00fcre\u00e7leri arac\u0131l\u0131\u011f\u0131yla altyap\u0131ya eri\u015fim sa\u011flanmas\u0131 veya spam ve kimlik av\u0131 sald\u0131r\u0131 kampanyalar\u0131 y\u00fcr\u00fctmek amac\u0131yla kamuya a\u00e7\u0131k sunucular\u0131n ele ge\u00e7irilmesi. Bu taktikler hem casus APT gruplar\u0131<\/a> hem de maddi \u00e7\u0131kar pe\u015finde olan siber su\u00e7lular<\/a> taraf\u0131ndan kullan\u0131l\u0131r. Son zamanlarda, a\u00e7\u0131k kaynakl\u0131 bir yaz\u0131l\u0131m paketinin ele ge\u00e7irilmesi, \u00e7ok a\u015famal\u0131 bir kurumsal g\u00fcvenlik ihlalinin yaln\u0131zca ilk ad\u0131m\u0131 haline gelmi\u015f durumdad\u0131r.<\/p>\n Yayg\u0131n sald\u0131r\u0131 senaryolar\u0131 aras\u0131nda, yasal bir a\u00e7\u0131k kaynakl\u0131 paket bak\u0131mc\u0131s\u0131n\u0131n kimlik bilgilerinin ele ge\u00e7irilmesi, i\u00e7ine yerle\u015fik k\u00f6t\u00fc ama\u00e7l\u0131 kod bulunan \u201ckullan\u0131\u015fl\u0131\u201d bir k\u00fct\u00fcphanenin yay\u0131nlanmas\u0131 veya pop\u00fcler bir k\u00fct\u00fcphaneyle ad\u0131 neredeyse ayn\u0131 olan k\u00f6t\u00fc ama\u00e7l\u0131 bir k\u00fct\u00fcphanenin yay\u0131nlanmas\u0131 say\u0131labilir. 2025 y\u0131l\u0131nda \u00f6zellikle endi\u015fe verici bir e\u011filim, otomatikle\u015ftirilmi\u015f, solucan benzeri sald\u0131r\u0131lar\u0131n artmas\u0131 olmu\u015ftur. En bilinen \u00f6rnek Shai-Hulud sald\u0131r\u0131 kampanyas\u0131d\u0131r<\/a>. Bu olayda, k\u00f6t\u00fc ama\u00e7l\u0131 kod GitHub ve npm belirte\u00e7lerini \u00e7alm\u0131\u015f ve yeni paketlere bula\u015fmaya devam ederek, sonunda 700\u2019den fazla npm paketine ve on binlerce depoya yay\u0131lm\u0131\u015ft\u0131r. Bu s\u00fcre\u00e7te CI\/CD gizli bilgileri ve bulut eri\u015fim anahtarlar\u0131 kamuya a\u00e7\u0131k hale gelmi\u015ftir.<\/p>\n Bu senaryo teknik olarak g\u00fcvenlik a\u00e7\u0131klar\u0131yla ilgili olmasa da, bunu y\u00f6netmek i\u00e7in gereken g\u00fcvenlik ara\u00e7lar\u0131 ve ilkeler, g\u00fcvenlik a\u00e7\u0131\u011f\u0131 y\u00f6netiminde kullan\u0131lanlarla ayn\u0131d\u0131r.<\/p>\n Yapay zeka ara\u00e7lar\u0131n\u0131n yaz\u0131l\u0131m geli\u015ftirme s\u00fcrecine aceleyle ve her alana yay\u0131lmak \u00fczere entegre edilmesi, geli\u015ftiricilerin \u00e7al\u0131\u015fma h\u0131z\u0131n\u0131 \u00f6nemli \u00f6l\u00e7\u00fcde art\u0131r\u0131r; ancak ayn\u0131 zamanda hatalar\u0131n etkisini de kat kat art\u0131r\u0131r. S\u0131k\u0131 bir denetim ve a\u00e7\u0131k\u00e7a tan\u0131mlanm\u0131\u015f s\u0131n\u0131rlamalar olmadan, yapay zeka taraf\u0131ndan \u00fcretilen kod son derece savunmas\u0131zd\u0131r. Ara\u015ft\u0131rmalara g\u00f6re, yapay zeka taraf\u0131ndan \u00fcretilen kodlar\u0131n %45\u2019i OWASP Top 10 listesindeki g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 i\u00e7erirken<\/a>, kullan\u0131ma sunulan yapay zeka tabanl\u0131 uygulamalar\u0131n %20\u2019sinde tehlikeli yap\u0131land\u0131rma hatalar\u0131 bulunmaktad\u0131r. Bunun nedeni, yapay zeka modellerinin, b\u00fcy\u00fck miktarda g\u00fcncel olmayan, \u00f6rnek niteli\u011finde veya tamamen e\u011fitim ama\u00e7l\u0131 kodlar i\u00e7eren devasa veri k\u00fcmeleriyle e\u011fitilmi\u015f olmas\u0131d\u0131r. Bir yapay zeka modeli, bir projeye hangi a\u00e7\u0131k kaynak bile\u015fenlerini dahil edece\u011fine karar verirken bu sistemik sorunlar yeniden g\u00fcndeme gelir. Model, genellikle hangi paket s\u00fcr\u00fcmlerinin mevcut oldu\u011funu veya hangilerinin g\u00fcvenlik a\u00e7\u0131\u011f\u0131 oldu\u011fu belirtildi\u011fini bilmez. Bunun yerine, e\u011fitim verilerinden al\u0131nan bir ba\u011f\u0131ml\u0131l\u0131k s\u00fcr\u00fcm\u00fcn\u00fc \u00f6nerir ki bu da neredeyse tamamen eskimi\u015f durumdad\u0131r. Baz\u0131 durumlarda, modeller var olmayan s\u00fcr\u00fcmleri \u00e7a\u011f\u0131rmaya \u00e7al\u0131\u015f\u0131r ya da tamamen hayali k\u00fct\u00fcphaneleri \u00e7a\u011f\u0131r\u0131r. Bu durum, ba\u011f\u0131ml\u0131l\u0131k kar\u0131\u015f\u0131kl\u0131\u011f\u0131na dayal\u0131 sald\u0131r\u0131lara<\/a> kap\u0131 a\u00e7ar.<\/p>\n 2025 y\u0131l\u0131nda, \u00f6nde gelen b\u00fcy\u00fck dil modelleri bile vakalar\u0131n %27\u2019sinde<\/a> yanl\u0131\u015f ba\u011f\u0131ml\u0131l\u0131k s\u00fcr\u00fcmleri \u00f6nerdi, yani basit\u00e7e uydurma cevaplar verdi.<\/p>\n Bu basit ve cazip bir fikir: Yapay zeka ajan\u0131n\u0131 kod taban\u0131n\u0131za y\u00f6nlendirin ve her t\u00fcrl\u00fc g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 bulup d\u00fczeltmesine izin verin. Ne yaz\u0131k ki, yapay zeka bu sorunu tamamen \u00e7\u00f6zemez. Bahsetti\u011fimiz temel engeller, yapay zeka ajanlar\u0131n\u0131 da insan geli\u015ftiriciler kadar zorlamaktad\u0131r. G\u00fcvenlik a\u00e7\u0131\u011f\u0131 verileri eksik veya g\u00fcvenilir de\u011filse, bilinen g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 tespit etmek yerine, bunlar\u0131 s\u0131f\u0131rdan yeniden ke\u015ffetmek zorunda kal\u0131rs\u0131n\u0131z. Bu, \u00e7o\u011fu i\u015fletme i\u00e7in ula\u015f\u0131lamaz olan \u00f6zel bir uzmanl\u0131k gerektiren ve inan\u0131lmaz derecede fazla kaynak t\u00fcketen bir s\u00fcre\u00e7tir.<\/p>\n Ayr\u0131ca, eski veya desteklenmeyen bir bile\u015fende bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 tespit edildi\u011finde, bir yapay zeka ajan\u0131 bunu \u201cotomatik olarak d\u00fczeltemez\u201d. H\u00e2l\u00e2 \u00f6zel yamalar geli\u015ftirmeniz veya karma\u015f\u0131k bir ge\u00e7i\u015f i\u015flemi ger\u00e7ekle\u015ftirmeniz gerekir. Bir kusur, ba\u011f\u0131ml\u0131l\u0131k zincirinin derinliklerinde gizlenmi\u015fse, yapay zeka bunu tamamen g\u00f6zden ka\u00e7\u0131rabilir.<\/p>\n Yukar\u0131da a\u00e7\u0131klanan riskleri en aza indirmek i\u00e7in, g\u00fcvenlik a\u00e7\u0131\u011f\u0131 y\u00f6netimi s\u00fcrecini a\u00e7\u0131k kaynakl\u0131 paket indirme ilkeleri, yapay zeka asistan\u0131 \u00e7al\u0131\u015fma kurallar\u0131 ve yaz\u0131l\u0131m derleme s\u00fcrecini de kapsayacak \u015fekilde geni\u015fletmek gerekecektir. \u00d6rne\u011fin:<\/p>\nA\u00e7\u0131k kaynakl\u0131 g\u00fcvenlik a\u00e7\u0131\u011f\u0131 verilerindeki eksiklik<\/h2>\n
Eski a\u00e7\u0131k kaynak kod sorunu<\/h2>\n
A\u00e7\u0131k kaynak kay\u0131t defterlerindeki k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar<\/h2>\n
Yapay zeka ajanlar\u0131 a\u00e7\u0131k kaynak kod kullan\u0131m\u0131n\u0131n risklerini nas\u0131l art\u0131r\u0131r?<\/h2>\n
Yapay zeka her \u015feyi \u00e7\u00f6zebilir mi?<\/h2>\n
Ne yapmak gerekiyor?<\/h2>\n
\n