Modern uygulamalar, büyük ölçüde başkalarının yazdığı kod üzerine kuruludur: base image’lar, kütüphaneler, bağımlılıklar. Bu, hızı artırır ama görünmez bir risk de yaratır — kullandığınız bir bileşendeki tek bir zafiyet, tüm uygulamanızı tehlikeye atabilir. Log4Shell gibi olaylar bu riskin ne kadar yıkıcı olabileceğini gösterdi.
SAVKOR’un container image güvenlik analizi, OWASP CI/CD Security Top 10 ve NIST SSDF doğrultusunda yürütülür. Image’larınızı ve tüm bağımlılıklarını bilinen zafiyetlere karşı tarar, hassas veri sızıntılarını tespit eder ve bir SBOM oluşturur. Böylece yazılım tedarik zincirinizde neyin çalıştığını ve nerede risk olduğunu net biçimde görürsünüz.
Test Kapsamı
- Bilinen zafiyet (CVE) taraması
- Bağımlılık ve kütüphane güvenliği
- Hassas veri ve secret sızıntısı
- Base image güvenliği ve güncellik
- Image katman analizi
- SBOM (yazılım malzeme listesi) oluşturma
Metodoloji
- 01
Image Envanteri
Kullanılan container image'ları ve kaynakları belirlenir.
- 02
Zafiyet Taraması
Image'lar ve bağımlılıkları bilinen CVE'lere karşı taranır.
- 03
Secret & Katman Analizi
Image katmanları hassas veri sızıntısı ve gereksiz içerik açısından incelenir.
- 04
Risk Önceliklendirme
Bulgular sömürülebilirlik ve etkiye göre önceliklendirilir.
- 05
Raporlama
Bulgular, SBOM ve iyileştirme önerileri raporlanır.
Teslimatlar
- Yönetici özeti ve image risk görünümü
- CVE ve bağımlılık zafiyet raporu
- Secret sızıntısı bulguları
- SBOM (Software Bill of Materials)
- Image sertleştirme ve güncelleme önerileri
Sık Sorulan Sorular
SBOM nedir, neden gerekli?
SBOM (Yazılım Malzeme Listesi), bir image içindeki tüm bileşen ve bağımlılıkların envanteridir. Yeni bir kritik zafiyet (örneğin Log4Shell) çıktığında, etkilenip etkilenmediğinizi saniyeler içinde görmenizi sağlar. Modern tedarik zinciri güvenliğinin temelidir.
Bu analiz CI/CD hattına entegre edilebilir mi?
Evet ve önerilir. Image taramasını pipeline'a entegre ederek, her build'de otomatik kontrol sağlanır; zafiyetli image'ların üretime çıkması daha kaynağında engellenir.
Bağımlılık zafiyetleri gerçekten risk mi?
Evet, hatta en yaygın risklerden biridir. Uygulamanızın kendi kodu güvenli olsa bile, kullandığı üçüncü taraf kütüphanelerdeki bir açık tüm sistemi tehlikeye atabilir. Bu yüzden bağımlılıkların sürekli izlenmesi kritiktir.