Page 52 - bilgem-teknoloji-dergisi-12
P. 52
Siber Güvenlik BILGEM
TEKNOLOJI
bu prensiplere dayanan çeşitli yöntemler (Scrum, DevOps yaklaşımının
Kanban, vb.) geliştirilmiş ve proje süresince çeşit-
çevikliğinden ve esnekliğinden
lenen ve değişen müşteri ihtiyaçlarını karşılamak faydalanabilmek için; güvenliğin, tüm
için yazılım geliştirme projelerinde tercih edilme-
DevSecOps ye başlanmıştır. Çevik yöntemler, yazılımın erken yazılım geliştirme yaşam döngüsü
ve devamlı teslimini amaçlarken son aşamalarda
(YGYD) boyunca entegre bir rol
dahi değişen gereksinimlere hazır olmaya çalışır.
Personelin motivasyonuna ve ihtiyaçlarına, ekibin olarak yer alması gerekmektedir.
performansına ve verimini artırmaya yönelik çö-
zümlere, gereksiz süreçlerin ikinci plana atılma-
sıyla sadeliğin sağlanmasına ve çalışan yazılımın ile DevOps, yazılıma odaklanan çevik yöntemler
varlığına odaklanır. Çalışan yazılım ile test faaliyet- için tamamlayıcı niteliktedir. DevOps uygulama-
leri işletilmiş ve tümünden başarılı şekilde geçmiş ları, hız ve işlevsellik açısından güçlü yaklaşımlar
yazılım ifade edilmektedir. Dolayısı ile paydaşlara barındırsa da önceden olduğu gibi güvenlik ikinci
olan ürün teslimatı sıklaştırılmış, test faaliyetleri planda kalmış ve yeterince vurgulanmamıştır. De-
geliştirme süreci ile paralel hale getirilmiş, değişen vOps yaklaşımının çevikliğinden ve esnekliğinden
gereksinimlere karşı esneklik sağlanmıştır. faydalanabilmek için güvenliğin tüm YGYD boyun-
ca entegre bir rol olarak yer alması gerekmektedir.
DevOps DevSecOps (Development-Security-Operations),
Çevik yöntem ile geliştirme sürecine odaklanılarak DevOps uygulamalarında geliştirme sürecini ya-
geliştirme ve test ekiplerine çeviklik kazandırılmış vaşlatmadan güvenliği artırmak için sunulmuştur.
olsa da ele alınmayan operasyon süreçleri darbo-
ğaz oluşturmuştur. Ayrıca çevik yöntemlerde kişile- DevSecOps ve Avantajları
re, yazılımın işlevselliğine ve müşteri beklentilerine DevSecOps yazılım geliştirme projelerinde ihtiyaç
odaklanılırken güvenlik doğrudan ele alınmamıştır. duyulan güvenlik için doğal evrimi temsil eder.
Bu durum güvenliğin, doğrudan iş değeri sunma- Yazılım ve altyapı güvenliğinin projede en baştan
dığını ve/veya sonradan ele alınabilecek bir konu itibaren ele alınması gerektiğini belirtir. Güvenliğin,
olduğunu düşünen projelerde açıklık barındıran ya- geliştirme ve operasyon ile eşit öneme sahip oldu-
zılımların oluşmasına sebep olmuştur. Ayrıca kısa ğunu vurgulayarak yazılım geliştirme yaşam dön-
yinelemelerin gerekli güvenlik testlerini işletmek güsünün her aşamasında mevcut olmasını amaç-
için yeterli olmaması; personelde ve müşteride bil- lar. Dolayısı ile güvenliğin sağlanmasına yönelik
gi, tecrübe veya farkındalık eksikliği güvenliğin çe- faaliyetleri, geliştirilmesi tamamlanmış bir ürüne
Süleyman Muhammed Arıkan - Uzman Araştırmacı / BİLGEM SGE vik yöntemlere dahil edilmesini zorlaştırmaktadır. uygulamak yerine çevik yazılım geliştirme süreçle-
rine ve DevOps iş akışlarına entegre ederek üründe
DevSecOps (Development-Security-Operations), DevOps Geliştirme ve operasyon süreçlerinin her ikisine yerleşik (built-in) güvenliğin oluşturulmasını sağ-
lar. Güvenliğin tek bir ekibin yegane sorumluluğu
uygulamalarında geliştirme sürecini yavaşlatmadan güvenliği birden çeviklik kazandırabilmek amacıyla 2009 yı- olmasından ziyade geliştirme, güvenlik ve ope-
lında DevOps (Development-Operations) yaklaşımı
artırmak için sunulmuştur. ortaya çıkmıştır. DevOps, yazılımların ve hizmetle- rasyon ekiplerinin ortak sorumluluğunda oldu-
rin hızlı sunulabilmesi amacıyla kullanılacak kültü-
rel felsefelerin, yöntemlerin ve araçların birleşimi
azılım geliştirme yaşam döngüsü (YGYD), Ancak, zaman içinde bilişim teknolojilerinin ge- olarak tanımlanabilir. DevOps, geliştirme ve ope-
müşteri beklentilerini karşılayan yazılım- lişmesi ile ihtiyaçlar çeşitlenmiş ve yazılım pro- rasyon ekipleri arasındaki engelleri kaldırarak ge-
Yların mümkün olan en yüksek kalitede, en jeleri büyüyerek tamamlanma süreleri uzamıştır. liştirmeden teste, dağıtımdan operasyona kadar bir
düşük maliyet ile en kısa zamanda üretilmesi Müşterilerin son ürüne ulaşması için geçen süre- yazılımın yaşam döngüsü boyunca çalışacak tek
için izlenen sistematik bir süreçtir. Geçmişten nin artması ve ihtiyaçların değişken yapısı, daha bir ekip üzerinden faaliyetlerin yürütülmesine im-
günümüze sıkça tercih edilen geleneksel YGYD sık teslimatlara imkan tanıyan, değişime hızlı kan sağlar. Böylece yazılım geliştiricilerin, test per-
yöntemleri incelendiğinde ilk olarak 1956 yılın- ve esnek yanıt verebilen yeni yöntemlere olan sonelinin, sistem yöneticilerinin ve kalite güvence
da sunulmuş ve 1985 yılında Amerika Birleşik ihtiyacı ortaya çıkarmıştır. Ayrıca güvenlik ama- mühendislerinin uyum içinde aralarında kopukluk
Devletleri Savunma Bakanlığı tarafından yazı- cıyla gerçekleştirilen testlerin projenin ilerleyen olmadan çalışması neticesinde iş hedeflerine kali-
lım geliştirme için standart bir yaklaşım olarak aşamalarında ele alınması, yazılım projelerinin teden ödün vermeden daha hızlı ulaşılır.
tanımlanmış şelale modeli öne çıkmaktadır. Bu bütçesi ve zamanı içinde gerekli düzeltmelerin
yapılmasını ve ilgili önlemlerin uygulanmasını
modelde tamamen sıralı ve doğrusal bir yakla- zorlaştırmıştır. Unutmamak gerekir ki; çevik yöntemler, şelale mo-
şım üzerinden planlama, analiz, tasarım, geliştir- deli gibi geleneksel YGYD modellerinin yerini alsa
me, test ve bakım aşamaları birbiri ardına ger- Çevik Yöntemler da DevOps, çevik yöntemlerin yerini alacak bir mo-
çekleştirilir. Dolayısıyla tüm gereksinimlerin açık 2001 yılında 12 prensipten oluşan çevik bildiri del olmaktan ziyade daha fazla süreci kapsayan bir
ve sabit olduğu projeler için uygundur. iyileştirme/geliştirme olarak görülmelidir. Dolayısı
(agile manifesto) yayınlanmıştır. Zaman içinde
50 51
