
Uygulama güvenliği yalnızca geliştirici ekibinin işi değildir. Bu rehber, işletmelerin kendi yazılımında veya dış tedarikçisinde düzenli olarak doğrulayabileceği erişim, veri, güncelleme ve izleme maddelerini pratik bir kontrol listesiyle sunar.
Bir yazılım yayına alındığında güvenlik işi bitmiş sayılmaz. Erişim yetkileri, yedekler, güncellemeler ve üçüncü taraf bağlantıları zamanla bozulabilir veya unutulabilir. Bu rehber, pen test raporuna ihtiyaç duymadan işletmenin kendi ekibiyle veya tedarikçisiyle gözden geçirebileceği bir uygulama güvenliği kontrol listesi sunar. Amaç, teknik jargonu sadeleştirmek ve karar vericilerin sorabileceği net sorular üretmektir.
Aşağıdaki maddeler hem özel yazılım hem de hazır platformlar için uyarlanabilir. Her bölümde “ne sorulur”, “ne kontrol edilir” ve “kabul için ne yeterlidir” çerçevesini kullanın.
Uygulama güvenliği işletme sorumluluğu mudur?
Evet. Kod yazmak geliştiricinin işi olsa da hesap sahipliği, yetki dağılımı, yedek politikası ve erişim iptali işletme tarafında kalır. Tedarikçi değişse bile müşteri verisi, ödeme kayıtları ve operasyon sürekliliği sizin sorumluluğunuzdadır.
Bu yüzden uygulama güvenliği kontrol listesi; yalnızca “sistem güvenli mi?” sorusunu değil, “kim neye erişiyor, veri nerede duruyor, bir olayda kim ne yapacak?” sorularını da yanıtlamalıdır. KepezWeb gibi yazılım projelerinde güvenlik başlıklarının erken netleştirilmesi, sonradan yapılan acil yamaların yükünü azaltır.
Erişim ve kimlik yönetimi kontrol listesi
Çoğu ihlalin başlangıç noktası zayıf erişim yönetimidir. Önce hesapları, sonra rolleri, en son da oturum davranışını kontrol edin.
- Hesap envanteri: Admin, editör, muhasebe, destek ve entegrasyon hesaplarının listesi güncel mi?
- Gereksiz hesaplar: Eski çalışan, stajyer veya eski ajans hesapları kapatılmış mı?
- Rol bazlı yetki: Herkese admin vermek yerine işe göre yetki tanımlanmış mı?
- İki adımlı doğrulama: Yönetim paneli ve kritik hesaplarda açık mı?
- Paylaşılan şifre yasağı: Ortak e-posta veya ortak admin hesabı kullanılıyor mu?
- Oturum süresi: Uzun süre işlem yapılmayan oturumlar otomatik kapanıyor mu?
Pratik kural: Bir kişi işten ayrıldığında aynı gün erişimleri kapatılmalı. “Haftaya bakarız” yaklaşımı, en sık unutulan risklerden biridir.
Veri koruma, yedekleme ve barındırma kontrolleri
Uygulama güvenliği yalnızca giriş ekranıyla sınırlı değildir. Verinin nerede tutulduğu, kimlerin kopyalayabildiği ve yedekten dönüp dönemeyeceğiniz en az o kadar kritiktir.
- Hassas veri envanteri: Kişisel veri, fatura, ödeme kaydı, müşteri dosyası hangi tablolarda veya klasörlerde?
- Yetkisiz dışa aktarım: Rapor indirme, CSV export ve API üzerinden toplu veri çekme kimlere açık?
- Yedek sıklığı ve saklama: Yedekler ne sıklıkla alınıyor, nerede tutuluyor, kim erişiyor?
- Geri dönüş denemesi: En az bir kez yedekten geri yükleme testi yapılmış mı?
- Ortam ayrımı: Canlı, test ve geliştirme ortamları birbirinden ayrılmış mı? Testte gerçek müşteri verisi kullanılıyor mu?
Barındırma tarafında da benzer sorular gerekir. Sunucu paneli erişimi, SSL sertifikası, güvenlik duvarı kuralları ve yedek politikası net olmalıdır. Hosting kararını verirken yalnızca fiyat değil güvenlik ve yedekleme çerçevesini de değerlendirmek için web hosting seçimi rehberine bakabilirsiniz.
Güncelleme, bağımlılık ve yapılandırma güvenliği
Yazılımın kendisi kadar eklentiler, kütüphaneler, tema ve sunucu bileşenleri de risk taşır. “Çalışıyor, dokunmayalım” yaklaşımı zamanla güvenlik borcu biriktirir.
- Uygulama çekirdeği, eklentiler ve bağımlılıklar için güncelleme sorumlusu kim?
- Kritik güvenlik güncellemeleri ne kadar sürede uygulanıyor?
- Kullanılmayan eklenti, modül veya eski API uçları kaldırılmış mı?
- Hata mesajları kullanıcıya teknik detay sızdırıyor mu?
- Yönetim paneli varsayılan URL, varsayılan kullanıcı adı veya örnek şifrelerle mi duruyor?
- Dosya yükleme alanlarında tür ve boyut kısıtı var mı?
İşletme tarafında istenebilecek minimum çıktı şudur: güncel bileşen listesi, son güncelleme tarihi ve bilinen açıkların kapatıldığına dair kısa not. Detaylı sızma testi şart değil; düzenli bakım disiplini çoğu senaryoda daha değerlidir.
API, entegrasyon ve üçüncü taraf riskleri
Modern uygulamalar ödeme, kargo, SMS, muhasebe ve CRM sistemlerine bağlanır. Her bağlantı yeni bir erişim kapısıdır.
- API anahtarları kod deposunda veya sohbet kayıtlarında düz metin olarak duruyor mu?
- Anahtarlar için yetki daraltması yapılmış mı, yoksa tam erişim mi verilmiş?
- Entegrasyon hesabı kişisel e-posta ile mi, kurumsal servis hesabı ile mi açılmış?
- Tedarikçi değişince veya sözleşme bitince anahtarlar iptal ediliyor mu?
- Webhook ve geri çağrı adresleri sahte istekleri süzebiliyor mu?
Tedarikçiyle çalışırken “sözleşme bitti, erişim devam ediyor” durumu sık görülür. Bu nedenle her dış bağlantı için sahip, amaç, yenileme tarihi ve iptal prosedürü yazılı olmalıdır. Özel yazılım veya entegrasyon ihtiyacınız varsa yazılım geliştirme sürecinde bu kontrolleri proje kapsamına baştan eklemek işi kolaylaştırır.
Uygulama güvenliği kontrol listesi: yayın ve kabul maddeleri
Yeni bir sürüm veya yeni bir yazılım devralırken güvenlik maddelerini kabul kriterine bağlayın. Aksi halde “sonra bakarız” maddeleri yayına girdikten sonra unutulur.
| Kontrol alanı | İşletmenin soracağı soru | Kabul için minimum kanıt |
|---|---|---|
| Erişim | Admin hesapları kimde, 2FA açık mı? | Hesap listesi ve yetki matrisi |
| Veri | Hassas veri nerede, kim dışa aktarabiliyor? | Veri envanteri ve export yetkileri |
| Yedek | Yedek alınıyor ve geri dönüş denendi mi? | Yedek politikası ve test kaydı |
| Güncelleme | Kritik bileşenler güncel mi? | Bileşen listesi ve son güncelleme tarihi |
| Entegrasyon | API anahtarları ve üçüncü taraf erişimleri kontrollü mü? | Anahtar envanteri ve iptal planı |
| İzleme | Şüpheli giriş ve hata logları izleniyor mu? | Log erişimi ve uyarı sorumlusu |
Bu tablo, teknik ekiple yapılacak kısa bir kontrol toplantısı için yeterlidir. Daha geniş bir teslim ve kabul süreci kuruyorsanız yazılım kabul testi (UAT) rehberi güvenlik maddelerini fonksiyonel testlerle birlikte planlamanıza yardımcı olur.
Log, izleme ve olay müdahalesi
Güvenlik yalnızca engellemek değildir; bir şey olduğunda fark etmek ve doğru tepki vermektir. İşletme olarak en azından şu sorulara cevap verebilmelisiniz:
- Başarısız giriş denemeleri loglanıyor mu?
- Kritik işlemler (yetki değişimi, toplu silme, ödeme ayarı) kayda geçiyor mu?
- Loglara kim bakıyor ve ne sıklıkla?
- Şüpheli bir durumda ilk aranacak kişi kim?
- Hesap ele geçirilirse hangi adımlar izlenecek: şifre sıfırlama, oturum kapatma, anahtar iptali?
Karmaşık bir SOC kurmanıza gerek yoktur. Küçük ve orta ölçekli yapılarda net bir iletişim zinciri, erişilebilir loglar ve yazılı bir “ilk 1 saat planı” çoğu senaryoda fark yaratır.
Tedarikçi ve ajansla çalışırken güvenlik soruları
Yazılımı dışarıda geliştiriyorsanız güvenlik yalnızca kod teslimiyle bitmez. Sözleşme ve operasyon tarafında da netlik gerekir.
- Kaynak kod, sunucu ve domain erişimleri işletme hesabında mı tutuluyor?
- Tedarikçi personeli ayrıldığında sizin tarafta erişimler nasıl güncelleniyor?
- Canlı ortamda değişiklik yapma yetkisi kimde?
- Acil müdahale saatleri ve iletişim kanalı tanımlı mı?
- Proje bitiminde tüm erişimlerin iadesi ve anahtar iptali prosedürü var mı?
KepezWeb yaklaşımında güvenlik maddeleri “ekstra istek” gibi sonraya bırakılmaz; erişim sahipliği, yedek ve teslim kalemleri proje planının parçası olur. Bu sayede işletme, yazılımı devraldığında karanlık nokta bırakmaz.
Aylık ve çeyreklik mini denetim rutini
Kontrol listesini bir kez doldurup rafa kaldırmayın. Küçük bir ritim, büyük sürprizleri azaltır.
Aylık hızlı kontrol:
- Admin hesapları ve 2FA durumu
- Yeni entegrasyon veya API anahtarı var mı?
- Başarısız giriş ve kritik hata loglarına kısa bakış
- Kullanılmayan hesap veya eklenti temizliği
Çeyreklik daha geniş kontrol:
- Yetki matrisi güncellemesi
- Yedekten geri dönüş denemesi
- Bağımlılık ve güncelleme durumu
- Tedarikçi erişimlerinin yeniden onayı
- Olay müdahale planının gözden geçirilmesi
Bu rutin, teknik ekibi boğmadan güvenlik bilincini işletme kültürüne taşır. Özellikle büyüme dönemlerinde yeni kullanıcı, yeni entegrasyon ve yeni yetki talepleri arttığı için düzenli kontrol daha kritik hale gelir.
Sıkça Sorulan Sorular
Uygulama güvenliği kontrol listesi pen test yerine geçer mi?
Hayır. Bu liste işletmenin düzenli olarak doğrulayabileceği temel kontrolleri kapsar. Derin teknik tarama, sızma testi veya kod denetimi ayrı uzmanlık alanlarıdır. Yine de birçok operasyonel risk, basit kontrol listesiyle erken yakalanır.
Küçük işletmeler için en kritik 3 madde nedir?
Gereksiz admin hesaplarını kapatmak, yönetim panellerinde iki adımlı doğrulamayı açmak ve yedekten geri dönüşü en az bir kez denemek. Bu üçü düşük maliyetli ama yüksek etkili adımlardır.
Hazır yazılım kullanıyorsak güvenlik bizi ilgilendirir mi?
Evet. Platform sağlayıcısı altyapının bir kısmını yönetse de kullanıcı yetkileri, eklentiler, entegrasyon anahtarları ve yedek politikası çoğu zaman sizin sorumluluğunuzdadır.
Güvenlik maddelerini ne sıklıkla kontrol etmeliyiz?
Hesap ve erişim için aylık; yedek, güncelleme ve tedarikçi erişimleri için çeyreklik ritim çoğu işletme için uygulanabilirdir. Büyük sürüm çıkışlarından önce de kısa bir kontrol turu yapın.
Tedarikçi “biz hallederiz” derse ne istemeliyiz?
Sözlü güvence yerine somut çıktı isteyin: hesap listesi, yetki matrisi, yedek politikası, son güncelleme kaydı ve erişim iade prosedürü. Ölçülebilir kanıt yoksa kontrol tamamlanmış sayılmaz.
Uygulamanızda erişim, veri, yedek ve entegrasyon başlıklarını netleştirmek istiyorsanız KepezWeb ekibiyle projenizin mevcut durumunu birlikte gözden geçirebilirsiniz. İhtiyacınıza uygun bir yol haritası için teklif al sayfasından bize ulaşın.


