GH-500 nedir ve neden almalısın?
What is GH-500 and why take it?
Bu derste neler öğreneceksin
- GH-500 sertifikasının kapsamını ve hedef kitlesini anlamak
- 6 domain'in ağırlıklarını ve sınavın genel yapısını öğrenmek
- GHAS'ın GitHub'ın hangi tier'larında bulunduğunu kavramak
- Bu kursun sınava nasıl hazırladığını ve unofficial olduğunu anlamak
GH-500 — GitHub Advanced Security (GHAS), GitHub’ın güvenlik odaklı sertifikasıdır. Konu sadece araç bilgisi değil; bir organizasyonda GHAS’ı yapılandırmak, işletmek ve yönetmek için gereken uzmanlığı ölçer. Hedef kitle: AppSec engineer, DevSecOps, security champion ve geliştirici güvenlik rehberleri.
Bu sertifika ne ölçüyor?
Microsoft Learn’deki resmi tanım net: kod güvenliği, secret’ları koruma, bağımlılık zincirini denetleme ve organizasyon genelinde güvenlik politikası uygulama yetkinliğini ölçüyor. Altı domain:
| # | Domain | Ağırlık |
|---|---|---|
| 1 | GHAS güvenlik özelliklerini ve işlevselliğini tanımlamak | %10–15 |
| 2 | Secret scanning yapılandırmak ve kullanmak | %15–20 |
| 3 | Supply chain security yapılandırmak ve kullanmak | %15–20 |
| 4 | Code security (CodeQL) yapılandırmak ve kullanmak | %10–15 |
| 5 | Güvenlik operasyonları: best practices, önceliklendirme, remediation | %15–20 |
| 6 | GitHub security suites yönetimi | %10–15 |
Domain 2, 3 ve 5 en ağır alanlar — toplam %45–60 arası. Bu üç domain’e orantısız çalışma zamanı ayırman gerekiyor.
Sınavın temel mekanikleri
| Konu | Detay |
|---|---|
| Sınav kodu | GH-500 |
| Tam isim | GitHub Advanced Security |
| Süre | 100 dakika |
| Geçme notu | 700 / 1000 |
| Yaklaşık soru sayısı | ~60 soru |
| Dil | Yalnızca İngilizce |
| Sağlayıcı | Microsoft (sınav) + GitHub (sertifika sahibi) |
| Kayıt | Pearson VUE (gözetimli — proctored) |
Not: GH-500 süresi 100 dakikadır; GH-600 ile (120 dk) karıştırma. Gerçek sınav yaklaşık 60 soruyu 100 dakikada sorar; soru başına ortalama 1.5–2 dk.
GHAS hangi tier’larda bulunur?
GHAS, GitHub Enterprise lisansına dahildir (Enterprise Cloud ve Server). GitHub Free ve Team planlarında temel güvenlik özellikleri (code scanning için varsayılan CodeQL, secret scanning için bazı özellikler) kısmi olarak bulunur; ancak push protection, custom patterns, security campaigns ve advanced administration Enterprise gerektirir.
Bu ayrım sınavda sık çıkar: hangi özellik hangi tier’da var?
Free / Team:
✓ Dependency graph
✓ Dependabot alerts (public repo)
✓ Basic secret scanning (public repo)
✗ Push protection (kurumsal ayarlar yok)
✗ Custom patterns
✗ Security campaigns
GitHub Advanced Security (Enterprise):
✓ Tüm yukarıdakiler + push protection
✓ Custom secret scanning patterns
✓ CodeQL code scanning (private repolar)
✓ Security overview dashboard
✓ Security campaigns
✓ Active committers tabanlı lisanslama
Hedef kitle ve önkoşullar
GH-500, şu rollerden birindeysen senin için:
- AppSec / application security engineer — SDLC’ye güvenliği entegre etmek
- DevSecOps — CI/CD pipeline’ına güvenlik kapıları kurmak
- Security champion — ekibinde GHAS champion olmak
- Platform / platform engineering — organizasyon genelinde GHAS yönetimi
Teknik önkoşullar:
- GitHub Actions ve CI/CD temelleri (GH-900 veya eşdeğer deneyim)
- Genel güvenlik kavramları (CVE, CVSS, dependency, secret exposure)
- CodeQL ile önceden çalışmak gerekmez — sıfırdan öğrenilir
Bu kurs neyi vaat ediyor?
- 9 modül, 33 ders: Domain derinlik sırası study guide ağırlığına göre
- ~150 soruluk Türkçe açıklamalı havuz: her sorunun kaynak referansı var
- Tam mock sınav: 100 dk countdown, 700/1000 puanlama, domain bazlı rapor
- 2026 güncellemeleri: Copilot Autofix, security campaigns, custom validity check
Sırada ne var?
Bir sonraki derste sınavın formatını, Pearson VUE kayıt akışını ve pratik detayları netleştireceğiz.