Güvenlik testi nedir?

Question

Accepted Answer

**Güvenlik testi**, yazılımı **güvenlik açıkları ve zayıflıklarını** değerlendirir — verileri koruduğunu ve saldırılara dirençli olduğunu doğrular. Çeşitli teknikleri içerir (SAST, DAST, penetrasyon testi, bağımlılık taraması) ve güvenlik kusurları ciddi sonuçlara yol açabileceği için gereklidir.

## Güvenlik testi neleri kontrol eder

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Güvenlik testinin türleri/teknikleri

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Güvenliği entegre etme (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## Neden önemli

Güvenlik testini anlamak, değerli üst düzey bilgidir çünkü **güvenlik açıkları ciddi sonuçlara yol açabilir** (ihlal, veri sızıntısı, mali ve itibar hasarı), bu nedenle bunları test etmek gereklidir ve bu önemli bir bilgidir.

Güvenlik testi, yazılımı **açıklar** (enjeksiyon, XSS, kırılmış kimlik doğrulama/yetkilendirme, veri maruziyeti, zafiyetli bağımlılıklar — OWASP Top 10 türündeki kusurlar) için değerlendirir ve defanslı olduğunu doğrular — yazılımın saldırılara dirençli olduğundan ve verileri ve kullanıcıları koruduğundan emin olur, bu da güvenlik başarısızlıklarının ne kadar zarar verici olduğu göz önüne alındığında kritik bir kalitedir.

**Türleri ve teknikleri** anlamak anahtardır: **SAST** (güvenlik açıkları için kaynak kodun statik analizi, CI'de çalıştırılabilir), **DAST** (çalışan uygulamanın saldırarak dinamik testi), **bağımlılık taraması/SCA** (kütüphanelerdeki bilinen güvenlik açıklarını bulma — tedarik zinciri riskleri göz önüne alındığında giderek daha önemli), **penetrasyon testi** (etik hackerler gerçek istismar edilebilir kusurları bulmak için aktif olarak kırılmaya çalışırlar) ve gizli/yapılandırma taraması — her biri güvenliğin farklı yönlerine hitap eder.

**Güvenliği entegre etmeyi (shift left)** anlamak — geliştirmenin erken aşamalarında ve CI'de (sadece sonunda değil) güvenlik açıkları için test etmek, CI/CD'de SAST ve bağımlılık taramasını otomatikleştirmek, kritik uygulamalar için düzenli penetrasyon testi yapmak ve mantığı (saldırganlar işlemeden önce açıkları bulma, ihlaller ciddi olduğundan) — geliştirme sürecine güvenlik testini entegre etmenin modern yaklaşımını yansıtır.

Güvenlik, gerekli ancak çoğunlukla göz ardı edilen bir kalite boyutudur ve açıkları test etmeyi anlamak güvenlik tehditleri büyüdükçe giderek daha önemlidir.

Güvenlik açıklarının ciddi sonuçları olduğundan ve güvenlik testi (SAST, DAST, bağımlılık taraması, penetrasyon testi, shift-left aracılığıyla erken entegre) açıkların saldırganlar tarafından istismar edilmeden önce bulunmasıdır, ve bu teknikler ve yaklaşımı anlamak güvenli yazılım inşa etmek için önemli olduğundan, güvenlik testini anlamak değerli üst düzey bilgidir — kalitenin kritik güvenlik boyutuna hitap etmek, açıkları istismar edilmeden önce bulmak ve önemli ve büyüyen güvenlik tehditleri ortamında üst düzey rollerde beklenen güvenlik farkındalığını yansıtmak için önemlidir.