Uygulamalı Güvenli Yazılım Geliştirme Eğitimi’nin temel amacı, yazılım geliştiricilerin ve uygulama güvenliği profesyonellerinin, modern yazılım geliştirme süreçlerinde karşılaşılan güvenlik tehditlerini derinlemesine anlamasını ve bu tehditlere karşı etkili savunma mekanizmaları geliştirebilmesini sağlamaktır. Eğitim, OWASP Top 10 başta olmak üzere yaygın güvenlik açıklarının gerçek hayattaki etkilerini laboratuvar ortamında uygulamalı olarak göstererek, katılımcıların hem saldırı vektörlerini analiz etmelerini hem de bu açıklara karşı güvenli kodlama yöntemlerini uygulayarak kalıcı çözümler geliştirmelerini hedefler. Ayrıca statik ve dinamik analiz araçlarının (SAST/DAST) kullanımı, güvenli API geliştirme teknikleri, kimlik doğrulama ve yetkilendirme mekanizmalarının güvenli tasarımı gibi konular da derinlemesine ele alınır. Bu sayede katılımcılar, yazılım yaşam döngüsünün (SDLC) her aşamasına güvenlik entegre ederek, hem kod kalitesini artırmakta hem de potansiyel siber riskleri daha erken aşamalarda tespit edebilme yetkinliği kazanmaktadır.
📘 Eğitim İçeriği:
Modül 1: Güvenli Yazılım Geliştirme Kavramları
-
Yazılım Güvenliğine Giriş
-
SDLC & SSDLC (Secure Software Development Life Cycle)
-
Tehdit Modelleme (STRIDE, DREAD)
-
Güvenlik gereksinimlerinin tanımlanması
Modül 2: OWASP Top 10 (Güncel Versiyon) ile Derinlemesine İnceleme
Her başlık için:
| Açık Türü |
Uygulama Konusu |
| A01 - Broken Access Control |
Yetkisiz kaynak erişimi |
| A02 - Cryptographic Failures |
Şifreleme hataları |
| A03 - Injection Attacks (SQL, OS, LDAP) |
SQL Injection canlı örnek |
| A05 - Security Misconfiguration |
Kötü yapılandırma testleri |
| A07 - Identification and Authentication Failures |
Kırık oturum yönetimi |
|
...
|
... |
Modül 3: Kod Analizi ve Güvenli Kodlama Uygulamaları
-
Statik Kod Analizi (SAST) – SonarQube, Semgrep örnekleri
-
Güvenli mimari desenler (input validation, encoding, token-based auth)
-
Kod inceleme ve güvenlik checklist’leri
Modül 4: Uygulamalı Güvenlik Testleri
-
ZAP, Burp Suite ile temel testler
-
Uygulamalı XSS, CSRF, IDOR, SSTI testleri
-
Docker ile kurulan zafiyetli uygulamalar: DVWA, Juice Shop, WebGoat
Modül 5: Güvenli API Geliştirme
-
REST API güvenliği
-
JWT, OAuth 2.0, Rate limiting
-
Uygulamalı Broken Object Level Authorization senaryoları
Modül 6: CI/CD Süreçlerinde Güvenlik
-
Git güvenliği ve kod havuzu kontrolleri
-
GitHub Actions / GitLab CI ile güvenlik taramaları entegrasyonu
-
Yazılımda “shift-left” yaklaşımı
🔬 Uygulamalı Senaryo & Tatbikat:
Katılımcılar 2 gün boyunca kendilerine verilen zafiyetli uygulamalarda güvenlik açıklarını tespit eder, güvenli sürümünü geliştirir ve yeniden deploy eder.
Senaryo Örnekleri:
-
Kötü yapılandırılmış oturum yönetimi ve düzeltme
-
SQL injection ile veri sızdırma – ardından kodun güvenli hâle getirilmesi
-
IDOR (Insecure Direct Object Reference) ile kullanıcı verisine erişim
-
Kod incelemesi ile güvenlik açığı tespiti ve düzeltme
