EN
EN

Standartlarla Güvenli Yazılım Geliştirme

11 Nisan 2022


Bilgi güvenliğinin en önemli alanlarından biri günümüzün her alanında yer alan yazılımlardır. Güvenlik bilinci ile yazılmayan yazılımlar kurumların veya bireysel kuruluşların siber güvenliğini riske atmaktadır. Yazılım geliştiriciler genel itibariyle hız, daha fazla özellik ve kullanıcı dostu yazılım geliştirme konusuna yoğunlaşmaları nedeniyle güvenlik konusunu arka plana atmaktadır. Yazılım güvenlik sorunlarının %90'a kadarı kodlama hatalarından kaynaklandığından, güvenli kodlama uygulamaları ve güvenli kodlama standartları önem arz etmektedir.

Yazılım güvenliği yazılımın, saldırı veya tehdit altındayken işlevlerini doğru bir şekilde yerine getirmesi ve siber saldırılarda dayanılacak ilk kapı olmasını önleyecek şekilde korunmasıdır. Yazılım güvenliği faaliyetlerinin amacı tüm bilgi güvenliği saldırılarına karşı daha dirençli ve hatasız çalışan yazılım üretmektir.

Yazılım geliştiriciler, güvenli yazılım geliştirme standartlarını izleyerek, dağıtımdan önce güvenlik açıklarını önemli ölçüde azaltabilir.

Yazılım geliştiricilerin yararlanabileceği rehber ve standartlar aşağıda verildiği gibidir:

- DDO-Bilgi ve İletişim Güvenliği Rehberi-3.2.6. Güvenli Yazılım Geliştirme (Türkiye de kurumlar ve kritik altyapıya sahip kuruluşlar için uyumluluğu zorunludur.)
- TÜBİTAK Güvenli Yazılım Geliştirme Rehberi
- T.C. ULAŞTIRMA VE ALTYAPI BAKANLIĞI Sivil Havacılık Genel Müdürlüğü Güvenli Yazılım Geliştirme Rehberi
- NIST Güvenli Yazılım Geliştirme Çerçevesi
- ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi-Ek A.14.2.1 Güvenli Geliştirme Politikası
- CIS Critical Security Control 16: Uygulama Yazılımı Güvenliği
- PCI-DSS 6.3: Güvenli Yazılım Geliştirme

DDO tarafından yayınlanan Bilgi ve İletişim Güvenliği Rehberi’nin 3.2.6. Güvenli Yazılım Geliştirme tedbir maddeleri aşağıda verildiği gibidir:

Tedbir No.

Tedbir Seviyesi

Tedbir Adı

Tedbir Tanımı

3.2.6.1

1

Güvenlik Gereksinimleri ve Tasarımı

Yazılım geliştirme sürecinde güvenlik gereksinimleri tanımlanmalı ve bu gereksinimler göz önünde bulundurularak tasarım yapılmalıdır. Tedarik edilen veya hizmet alımı ile geliştirilen uygulamaların teknik şartnamelerinde güvenlik gereksinimlerine yer verilmelidir

3.2.6.2

1

Test ve Geliştirme Ortamında Gerçek Veri Kullanılmaması

Geliştirme ve/veya test ortamında kullanılacak veriler gerçek veri olmamalıdır. Bu kapsamda, ilgili ortamlarda kullanılması için amaca uygun veriler üretilmelidir.

3.2.6.3

1

Tedarik Edilen Uygulamalarda Kullanım Amacına Uygun Olmayan Özellik/Arka Kapı Bulunmaması

Tedarik edilen veya hizmet alımı ile geliştirilen uygulamalar için yazılımın kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) içermediğine/içermeyeceğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınmalıdır. Bk. EK-C.6: Taahhütname Örneği

3.2.6.4

1

Arayüzün Türkçe Dil Desteğine Sahip Olması

Bk. Tedbir No: 4.6.1.4

3.2.6.5

1

Güncel İstemci ve Sunucu Teknolojilerinin Kullanılması

Üretici tarafından sunulan teknik desteği sona ermiş, güvenlik açığı barındıran veya teknolojisi zaman aşımına uğramış sunucu veya istemci teknolojileri kullanılmamalıdır.

3.2.6.6

1

Uygulama Güvenlik Testlerinin Yapılması

Devreye alınan veya güncellenen uygulamalarda sızma testleri ve uygulama güvenliği testleri yapılmalıdır. Tedarik edilen uygulamalar üzerinde sızma testleri gerçekleştirilmelidir. Bk. Tedbir Başlık No: 3.1.11

3.2.6.7

2

Kaynak Kod Güvenlik Analizlerinin Yapılması

Kurumun kaynak koduna sahip olduğu tüm uygulamalar devreye alım öncesinde kaynak kod analizinden geçirilmelidir.

3.2.6.8

2

Güvenli Yazılım Geliştirme Süreçlerinin Uygulanması

Güvenli yazılım geliştirme süreçleri ve olgunluk modellerinden faydalanılarak kurumsal yazılım geliştirme süreçleri güncellenmeli ve güvenli yazılım geliştirme yaşam döngüsü uygulanmalıdır.

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog