GHAS özelliklerine genel bakış
GHAS features overview
Bu derste neler öğreneceksin
- GHAS'ın temel güvenlik özelliklerini ve birbirleriyle ilişkisini anlamak
- Her özelliğin hangi güvenlik tehdidini ele aldığını bilmek
- Default ve opt-in özellikler arasındaki farkı kavramak
- 2026 itibarıyla GA olan yeni özellikelri (Copilot Autofix, security campaigns) tanımak
GHAS özellik haritası
GitHub Advanced Security, birbirine entegre dört güvenlik katmanı sunar:
| Özellik grubu | Koruma alanı | Tetikleyici |
|---|---|---|
| Secret scanning | Credential / token sızıntısı | Push, commit, PR |
| Push protection | Secret’ın repoya girmesini engelle | Push anında (pre-receive) |
| Code scanning (CodeQL) | Kod içindeki güvenlik açığı (SAST) | Push, PR, schedule |
| Dependabot | Bağımlılık güvenlik açığı (SCA) | Günlük tarama, PR |
| Dependency review | PR’da yeni bağımlılık riski | PR açıldığında |
Secret scanning nasıl çalışır?
Secret scanning, commit ve push içeriğini bilinen token pattern’lerine karşı tarar. GitHub’ın partner programı sayesinde 100’den fazla servis sağlayıcının token formatı otomatik tanınır.
Push → Tarama motoru → Pattern match?
↓ Evet ↓ Hayır
Alert + (isteğe bağlı) blokla İşlem devam
Varsayılan davranış: Alert oluşturur, itişi engellemez. Push protection etkinleştirilirse: Commit’i bloklar, bypass seçeneği sunar.
Code scanning (CodeQL) nasıl çalışır?
CodeQL, kaynak kodu bir veritabanına dönüştürür, ardından güvenlik sorguları çalıştırır. Bu yaklaşım regex tabanlı araçlardan farklı: semantic analiz yapar.
Kaynak kodu → CodeQL database → Query suite → Sonuçlar → Alerts
İki kurulum modu sınavda sık çıkar:
- Default setup: GitHub Actions’ı otomatik konfigüre eder, sorgu sürümünü GitHub yönetir
- Advanced setup: workflow.yml dosyasını kendin kontrol edersin, custom queries ekleyebilirsin
Dependabot üç farklı iş yapar
Sınavda “Dependabot ne yapar?” sorusu geleneksel bir tuzaktır — tek bir şey yapmaz:
| Bileşen | İş | Nasıl tetiklenir? |
|---|---|---|
| Dependabot alerts | Mevcut güvenlik açıklarını bildirir | Günlük CVE taraması |
| Dependabot security updates | Güvenlik açığını kapatan PR açar | Alert oluştuğunda |
| Dependabot version updates | Bağımlılıkları güncel tutar (semver) | Yapılandırılmış takvim |
Bu üçü birbirinden bağımsız etkinleştirilebilir.
2026 yeni özellikleri
Copilot Autofix (GA — Ocak 2026)
Code scanning alert’ı oluştuğunda Copilot, düzeltme önerisini PR yorumu olarak ekler. Geliştiricinin onayıyla uygulanır; zero-trust mantığı korunur.
Security campaigns (GA — Mart 2026)
Security manager, organizasyon genelindeki birden fazla repo’daki belirli alert türlerini tek bir campaign altında toplayabilir. Sprint tabanlı hedefler (SLA) ve ilerleme takibi sunar.
Custom validity checks (partner program — 2025)
Secret scanning partner’larının token’larının hâlâ geçerli olup olmadığını gerçek zamanlı kontrol etme. Geçersiz (revoked) token’ları için severity düşürme.
Özellikleri etkinleştirme hiyerarşisi
Özellikler üç seviyede kontrol edilebilir:
Enterprise level → Organization level → Repository level
(en geniş kontrol) (en dar kontrol)
Enterprise admin, tüm organizasyonlar için güvenlik politikasını zorunlu kılabilir. Organization owner, repo seviyesinde override’a izin verebilir veya kilitleyebilir.
Sırada ne var?
Bir sonraki derste GHAS, GitHub Free ve GitHub Team planlarını ayrıntılı karşılaştıracağız — sınavda sık çıkan tier soruları için kritik bilgi.