Modül 1 · GHAS Özellikleri ve İşlevselliği · ⏱ 12 dakika

GHAS özelliklerine genel bakış

GHAS features overview

Bu derste neler öğreneceksin

  • GHAS'ın temel güvenlik özelliklerini ve birbirleriyle ilişkisini anlamak
  • Her özelliğin hangi güvenlik tehdidini ele aldığını bilmek
  • Default ve opt-in özellikler arasındaki farkı kavramak
  • 2026 itibarıyla GA olan yeni özellikelri (Copilot Autofix, security campaigns) tanımak

GHAS özellik haritası

GitHub Advanced Security, birbirine entegre dört güvenlik katmanı sunar:

Özellik grubuKoruma alanıTetikleyici
Secret scanningCredential / token sızıntısıPush, commit, PR
Push protectionSecret’ın repoya girmesini engellePush anında (pre-receive)
Code scanning (CodeQL)Kod içindeki güvenlik açığı (SAST)Push, PR, schedule
DependabotBağımlılık güvenlik açığı (SCA)Günlük tarama, PR
Dependency reviewPR’da yeni bağımlılık riskiPR açıldığında

Secret scanning nasıl çalışır?

Secret scanning, commit ve push içeriğini bilinen token pattern’lerine karşı tarar. GitHub’ın partner programı sayesinde 100’den fazla servis sağlayıcının token formatı otomatik tanınır.

Push → Tarama motoru → Pattern match?
         ↓ Evet          ↓ Hayır
    Alert + (isteğe bağlı) blokla   İşlem devam

Varsayılan davranış: Alert oluşturur, itişi engellemez. Push protection etkinleştirilirse: Commit’i bloklar, bypass seçeneği sunar.

Code scanning (CodeQL) nasıl çalışır?

CodeQL, kaynak kodu bir veritabanına dönüştürür, ardından güvenlik sorguları çalıştırır. Bu yaklaşım regex tabanlı araçlardan farklı: semantic analiz yapar.

Kaynak kodu → CodeQL database → Query suite → Sonuçlar → Alerts

İki kurulum modu sınavda sık çıkar:

  • Default setup: GitHub Actions’ı otomatik konfigüre eder, sorgu sürümünü GitHub yönetir
  • Advanced setup: workflow.yml dosyasını kendin kontrol edersin, custom queries ekleyebilirsin

Dependabot üç farklı iş yapar

Sınavda “Dependabot ne yapar?” sorusu geleneksel bir tuzaktır — tek bir şey yapmaz:

BileşenİşNasıl tetiklenir?
Dependabot alertsMevcut güvenlik açıklarını bildirirGünlük CVE taraması
Dependabot security updatesGüvenlik açığını kapatan PR açarAlert oluştuğunda
Dependabot version updatesBağımlılıkları güncel tutar (semver)Yapılandırılmış takvim

Bu üçü birbirinden bağımsız etkinleştirilebilir.

2026 yeni özellikleri

Copilot Autofix (GA — Ocak 2026)

Code scanning alert’ı oluştuğunda Copilot, düzeltme önerisini PR yorumu olarak ekler. Geliştiricinin onayıyla uygulanır; zero-trust mantığı korunur.

Security campaigns (GA — Mart 2026)

Security manager, organizasyon genelindeki birden fazla repo’daki belirli alert türlerini tek bir campaign altında toplayabilir. Sprint tabanlı hedefler (SLA) ve ilerleme takibi sunar.

Custom validity checks (partner program — 2025)

Secret scanning partner’larının token’larının hâlâ geçerli olup olmadığını gerçek zamanlı kontrol etme. Geçersiz (revoked) token’ları için severity düşürme.

Özellikleri etkinleştirme hiyerarşisi

Özellikler üç seviyede kontrol edilebilir:

Enterprise level → Organization level → Repository level
(en geniş kontrol)                      (en dar kontrol)

Enterprise admin, tüm organizasyonlar için güvenlik politikasını zorunlu kılabilir. Organization owner, repo seviyesinde override’a izin verebilir veya kilitleyebilir.

Sırada ne var?

Bir sonraki derste GHAS, GitHub Free ve GitHub Team planlarını ayrıntılı karşılaştıracağız — sınavda sık çıkan tier soruları için kritik bilgi.