Application Security for Developers Eğitimi

Güvenli yazılım geliştirme, yalnızca güvenlik ekiplerinin değil, doğrudan geliştiricilerin sorumluluğunda olan bir beceridir.
Bu yoğun 2 günlük eğitim, geliştiricilere, yazılım mimarlarına ve teknik liderlere, uygulama güvenliği ilkelerini uygulamalı olarak öğretir.

Katılımcılar gerçek saldırı senaryoları ve interaktif laboratuvarlarda:

• Zafiyetleri tanımayı,

• Kod seviyesinde düzeltmeyi,

• STRIDE tehdit modelleme metodolojisini uygulamayı,

• Güvenli kodlama ve savunmacı programlama tekniklerini deneyimleyeceklerdir.

Eğitim, teori ve uygulamayı birleştirerek, yazılım yaşam döngüsüne güvenliğin nasıl entegre edileceğini gösterir.

Regülasyon Uyumu (BDDK)

Bu eğitim içeriği “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” (Resmî Gazete No: 31066, 15 Mart 2020) ile tam uyumludur.

İlgili maddeler:

• Madde 20 – Güvenli Yazılım Geliştirme: Geliştiricilerin güvenli kodlama becerileri ve kod inceleme süreçleri.

• Madde 22 – Değişiklik Yönetimi: Kaynak kod yönetimi, CI/CD güvenliği ve sürüm denetimi.

• Madde 23 – Güvenlik Testleri: Zafiyet analizi, kod tarama, dinamik testler ve tehdit modelleme.

• Madde 25 – Bilgi Güvenliği Yönetimi: Geliştirme ekiplerinde güvenlik farkındalığı kültürünün oluşturulması.

Bu nedenle eğitim, bankalar, finansal kurumlar, sigorta şirketleri ve regülasyona tabi kurumlarda görev yapan geliştiriciler için regülasyon gereği önerilen bir kurstur.

Katılımcılar bu eğitimin sonunda:

• Uygulama güvenliği ilkelerini tanır ve yazılım yaşam döngüsünde uygular.

• STRIDE tehdit modelleme yöntemini kullanarak riskleri analiz eder.

• OWASP Top 10 kapsamındaki zafiyetleri tanır, sömürür ve düzeltir.

• Veriyi dinamik ve statik hâllerde (transit / at rest) güvenli biçimde şifreler.

• Kimlik doğrulama, oturum yönetimi ve API güvenliği prensiplerini uygular.

• SQL Injection, XSS, IDOR, Deserialisation gibi saldırılara karşı savunma geliştirir.

• Güvenli kod inceleme ve otomatik zafiyet taraması süreçlerini CI/CD’ye entegre eder.

• Yazılım ekiplerinde “Secure Coding Culture” oluşturur.

Katılımcılar, bu eğitimin sonunda:

• Güvenli kodlama alışkanlıklarını kazanır,
• OWASP Top 10 ve STRIDE modelini projelerine uygular,
• Geliştirme süreçlerini BDDK uyumlu hale getirir. 

Uygulama Güvenliği Temelleri

• Modern yazılım ortamlarında güvenli geliştirme neden kritik?

• Gerçek saldırılardan alınan dersler

• OWASP Top 10 riskleri ve geliştirici hataları

• STRIDE tehdit modelleme temelleri

Geliştirici Ortamı Güvenliği

• Kaynak kod depolarında güvenlik (Git, CI/CD)

• Üçüncü parti bağımlılıkların güvenli yönetimi

• Otomatik kod taraması ve pipeline güvenliği

• Supply chain ve phishing simülasyonları

Front-End Güvenliği

• HTTP/HTTPS istek akışları

• Form ve giriş doğrulama güvenliği

• XSS, File Upload ve Session Hijacking saldırıları

• Güvenlik başlıkları (Security Headers) uygulaması

Backend & API Güvenliği

• Kimlik doğrulama ve yetkilendirme

• ORM güvenliği ve Injection önlemleri

• API rate limiting, parametrik sorgular, input sanitization

Veri Güvenliği ve Kriptografi

• Verinin dururken ve aktarımda güvenliği

• Şifreleme, hashleme, anahtar yönetimi

• SQL Injection, Insecure Deserialization, File Handling güvenliği

Kod İncelemesi ve Exploit Zincirleri

• Kod gözden geçirme pratikleri

• Gerçek zafiyet zincirlerinin incelenmesi

• Capture the Flag (CTF) uygulamalı güvenlik yarışması

Agile ve Threat Modeling Entegrasyonu

• Agile süreçlerinde güvenlik gereksinimlerinin backlog’a dahil edilmesi

• Sprint bazlı tehdit modelleme

• Geliştirme ekiplerinde güvenlik farkındalığı inşası