Kapsam
Kaynak ve yapılandırma dosyaları üzerinde statik güvenlik incelemesi: sır sızıntısı, açıkta kalan dosyalar, riskli istemci kodu ve sunucu tarafı işaretler.
Statik güvenlik incelemesi: secret/ifşa/riskli desen/SAST + OWASP eşleme. Aktif test yalnız yetkiyle.

Statik güvenlik incelemesi; kaynak, konfigürasyon ve çıktı dosyaları üzerinde, hedef sisteme dokunmadan yapılan güvenlik analizidir. WebTrustEngine'in güvenlik katmanı bu tanımın içinde kalır ve dört ana bloktan oluşur: secret scan (anahtar/parola/token sızıntısı), exposed files (.env, yedek, .git, yapılandırma ifşası), istemci tarafı riskli desenler (eval, document.write, tehlikeli sink'ler) ve sunucu tarafı SAST sınıflandırmaları (SQLi/komut/traversal/deserialization/SSRF/XXE işaretleri).
Bunlara SCA/CVE mantığı eşlik eder: bilinen kütüphane sürümlerinin riskli aralıkları işaretlenir; ancak 'bu sürüm sömürülebilir' iddiası kurulmaz — işaret, güncelleme reçetesine bağlanır. CSP/HSTS hazırlığı ve OWASP eşlemesi bulguları ortak bir dile oturtur.
Ne zaman pentest değildir? Her zaman — bu üründe. Aktif payload gönderimi yok, canlı port taraması yok, authentication bypass denemesi yok, exploit üretimi yok. DAST sınıfındaki her davranış; yazılı yetki, sahiplik doğrulaması ve ayrı kapsam belgesi ister. Bu yasal ve etik sınır ürünün zayıflığı değil, güvenilirlik disiplinidir: müşteri neyi aldığını ve neyi ayrıca sipariş etmesi gerektiğini kesin bilir.
Motor ne yapar?: Kaynak üzerinde statik güvenlik incelemesi yapar.
Ne yapmaz?: Aktif sömürü/port tarama/payload yapmaz; pentest değildir.
Çıktı nedir?: Riskli desen raporu + reçeteler + OWASP eşleme.
Yönetici için anlamı: Sessiz risklerin görünür panosu.
Teknik ekip için anlamı: SAST↔DAST çizgisi sözleşme dilinde de korunur.
Uzman doğrulaması, motorun dürüstlük katmanıdır: bazı alanlar otomatikleştirilemez ve otomatikleştirilmiş gibi gösterilmez. Hukuki iddialar (uyum beyanı, telif metni), bazı erişilebilirlik kararları (kontrast bağlamı, medya betimleme yeterliliği), kültürel bağlam ve marka dili, içerik doğruluğu (rakamlar, unvanlar, iddialar), müşteri onayı gerektiren değişiklikler ve güvenlik yetkisi isteyen adımlar bu katmandadır.
Katmanın işleyişi nettir: kalem işaretlenir, gerekçesi yazılır, denetçiye/karar sahibine yönlendirilir; motor bu kalemlere otomatik geçer not vermez. Bu tasarım tercihinin pazarlama değeri de vardır: 'her şeyi otomatik yaptık' diyen ürünlere karşı, neyin insan yargısı gerektirdiğini açıkça söyleyen ürün, kurumsal alıcı için daha güvenilirdir.
Motor ne yapar?: İnsan yargısı gerektiren kalemleri işaretler ve yönlendirir.
Ne yapmaz?: Bu kalemlere otomatik geçer not vermez.
Çıktı nedir?: Manuel-kalem listesi + gerekçe + yönlendirme.
Yönetici için anlamı: Otomasyon iddiasının güvenilir sınırı.
Teknik ekip için anlamı: Denetçi akışı ürün sürecinin resmi parçasıdır.
Kaynak ve yapılandırma dosyaları üzerinde statik güvenlik incelemesi: sır sızıntısı, açıkta kalan dosyalar, riskli istemci kodu ve sunucu tarafı işaretler.
Aktif zafiyet sömürüsü, sızma testi, canlı sisteme müdahale ve yetki gerektiren testler.
Desen bazlı bulgu listesi, dosya ve satır referansları, önem sınıfı ve önerilen sonraki adım.
Canlı test, sızma testi veya üretim sistemlerine dokunan her adım ayrı yazılı yetki ister.
KARŞILAŞTIRMA
| SAST | DAST |
|---|---|
| Statik kaynak/dosya analizi — motor bunu yapar; kod çalıştırılmaz. | Çalışan sisteme aktif istek — yalnız yazılı yetkiyle, motor kapsamı dışında. |
| Başlık/dosya | Yaklaşım |
|---|---|
CSP | Reçete üretilir; çift politika yaratılmaz. |
HSTS | HTTPS yönlendirme + başlık hazırlığı. |
X-Content-Type-Options / frame-ancestors | Statik hazırlık; canlı notu SecurityHeaders verir. |
security.txt | Onaylı güvenlik iletişim kanalı tanımlandığında yayınlanır; kapsam sitelerinde canlıda /.well-known altından doğrulanır. |
Statik analiz (SAST) kaynaklara bakar: dosyalar, desenler, yapılandırmalar. Dinamik test (DAST) çalışan sisteme istek atar: girişleri zorlar, cevapları kışkırtır. WebTrustEngine birinci dünyada yaşar ve bunu tek cümleyle sabitler: hiçbir kontrol kod çalıştırmaz, hiçbir kontrol hedefe istek göndermez.
Bu ayrımın kurumsal değeri yetki meselesindedir. Statik inceleme, size ait dosya kökü üzerinde her zaman meşrudur; aktif test ise ancak yazılı yetkiyle meşrudur ve o yetkiyle çalışan uzman ekiplerin işidir. Motor bu sınırı bulanıklaştırmaz; tersine, 68 güvenlik deseninin her birinin 'tespit eder, sömürmez' sınıfında olduğunu raporun içinde söyler.
Port taraması, zafiyet taraması, kimlik doğrulama zorlaması, yük ve stres testleri, sosyal mühendislik tatbikatları — bunların tamamı kapsam dışıdır ve raporlarda 'yapılmadı' diye değil, 'tanım gereği bu ürünün işi değil' diye geçer. Bir tedarikçi size 'tarama yaptık' diyorsa sorulacak ilk soru yazılı yetkinin tarihidir; ikincisi, taramanın hangi sınıfa girdiğidir.
İçerik Güvenliği Politikası (CSP) yanlış yazıldığında siteyi korumaz, kırar; bu yüzden motor CSP'de 'akıllı tahmin' yapmaz. Mevcut politikayı okur, çakışma yaratacak ikinci bir politika asla üretmez ve değişikliği her zaman tek, uygulanabilir reçete olarak sunar. HSTS için aynı disiplin geçerlidir: yönlendirme zinciri doğrulanmadan kalıcı başlık önerilmez, çünkü yanlış HSTS geri alması en pahalı hatalardandır.
Ailenin geri kalanı — içerik türü kilidi, çerçeveleme sınırı, yönlendiren politikası, izin politikası — statik hazırlık olarak işaretlenir ve canlı notu SecurityHeaders'a bırakılır. Reçetenin görevi notu almak değil, notu alınabilir kılmaktır.
SSL Labs, SecurityHeaders ve benzerleri bu modelde rakip değil hakemdir. Motorun çıktısı 'benim notum' değildir; 'hakeme şu hâlde çıkarsınız' hazırlığıdır. Bu kurgu, iç rapor ile dış not arasındaki farkı da anlamlı kılar: fark varsa, ya ara katman başlığı eziyordur ya da reçete eksik uygulanmıştır — ikisi de bulunabilir, kanıtlanabilir sorunlardır.
SAHA ANLATIMI
Ana başlık: Statik güvenlik incelemesi — sızma testi değil
Alt başlık: SAST evet, DAST yalnız yetkiyle.
Kime hitap eder? Güvenlik ekipleri, CTO'lar ve tedarikçi güvenilirliğini değerlendiren satın alma.
Hangi problemi çözer? Web güvenliğinde en büyük itibar riski, bir aracın yapabildiğinden fazlasını iddia etmesidir. 'Tam güvenlik testi' gibi ifadeler hem hukuki hem de teknik olarak yanıltıcıdır.
WebTrustEngine ne yapar? WebTrustEngine, iddiadan önce sınırı tanımlar. ZIP veya lokal klasör üzerinde statik güvenlik incelemesi yapar: sır, ifşa dosya, istemci tarafı risk deseni, bağımlılık ve güvenlik başlığı hazırlığı. Bu çalışma aktif sızma testi (pentest) değildir.
sınır:** Canlı payload gönderimi, port tarama, kimlik doğrulama aşma denemesi veya exploit çalışması yalnız yazılı yetki ve ayrı kapsamla yapılır. Bu ayrım motorun eksikliği değil; kurumsal güvenlik ve etik çalışma disiplinidir.
Aksiyon çağrıları: Güvenlik Katmanını Gör · Reçete Örneğini İncele
Yönetici için karar sorusu: güvenlik kapsamındaki bulgular bütçe, risk, görünürlük veya müşteri güveni açısından karar gerektiriyor mu?
Teknik ekip için çıktı: değişen dosya listesi, başlık reçetesi, geri alma manifesti, dış aksiyon listesi ve canlı doğrulama adımları.
WebTrustEngine statik güvenlik incelemesi sunar (SAST): sır, ifşa dosya, risk deseni ve başlık hazırlığı. Aktif sızma testi (DAST) yalnız yazılı yetki ve ayrı kapsamla yapılır.
WebTrustEngine'in güvenlik yaklaşımı, iddiadan önce sınırı tanımlamakla başlar. Motor, ZIP veya lokal klasör üzerinde statik güvenlik incelemesi (SAST) yapar: sır sızıntısı, ifşa dosyalar, istemci tarafı risk desenleri, bağımlılık işaretleri ve güvenlik başlığı hazırlığı. Bulgular OWASP diline eşlenir ve sır değerleri rapora maskeli girer. Ancak bu çalışma aktif sızma testi (pentest) değildir; canlı payload, port tarama veya exploit çalışması yalnız yazılı yetki ve ayrı kapsamla yapılır.
Web güvenliğinde güvenilirlik, iddiadan önce sınırı tanımlamakla başlar. WebTrustEngine bunu açıkça yapar. Motor, ZIP veya lokal klasör üzerinde statik uygulama güvenlik testi (SAST) yürütür: sır sızıntısı, ifşa olmuş dosyalar, istemci tarafı tehlikeli desenler, bağımlılık ve sürüm riskleri ile güvenlik başlığı hazırlığı analiz edilir. Tüm bulgular OWASP ortak diline eşlenir ve hiçbir sır değeri açıkça yazılmaz — rapora maskeli girer. Bu çalışma bir aktif sızma testi (pentest / DAST) değildir ve öyleymiş gibi sunulmaz. Canlı payload gönderimi, port tarama, kimlik doğrulama aşma denemesi veya exploit çalışması yalnız yazılı yetki ve ayrı bir kapsamla yürütülebilir. Bu ayrım, WebTrustEngine'in bir eksikliği değil; kurumsal güvenlik ve etik çalışma disiplinidir. Sınırın netliği, güvenin kaynağıdır.
---
DÖRT DESEN
68 güvenlik deseninin ne tür şeyler yakaladığını dört kavramsal örnekle somutlaştıralım. Gömülü sır: bir JavaScript dosyasının içinde unutulmuş API anahtarı görünümlü dize. Kanıt, dosya yolu ve satır bağlamıdır; aksiyon, anahtarın iptali ve koddan çıkarılmasıdır — motor anahtarı denemez, yalnız varlığını sınıflandırır. Karışık içerik: HTTPS sayfada http:// ile çağrılan görsel ya da betik. Kanıt, çağrının geçtiği satırdır; düzeltme çoğu zaman Güvenli Düzeltme kapsamına girer. Bayat kütüphane referansı: bilinen eski bir sürüm numarası taşıyan betik adresi. Motor "zafiyet var" demez — sürüm tespitini raporlar ve güncelleme kararını, değişiklik riskini bilen ekibinize bırakır. Açık yedek/dizin izi: yayında unutulmuş .bak, .old ya da arşiv dosyası deseni. Kanıt dosya adıdır; aksiyon kaldırma reçetesidir.
Dördünde de kalıp aynıdır: dosyadan üretilmiş kanıt, net sınıflandırma, uygulanabilir aksiyon — ve tek bir kez bile canlı sisteme istek atmadan.
YETKİ YOLU
Statik incelemenin bittiği yerde aktif test başlar ve oraya tek bir kapıdan girilir: yazılı yetki. Kapsamı, zaman penceresini ve hariç tutulan sistemleri adlandıran bir yetki belgesi olmadan çalışan sisteme istek atılmaz — bu hem hukukun hem de meslek etiğinin gereğidir. Yetki varsa bile iş, sızma testini meslek edinmiş ekiplere aittir; WebTrustEngine'in bu aşamadaki rolü, statik bulgularını o ekibin eline verimli bir başlangıç haritası olarak teslim etmektir. "Pentest yaptık" cümlesi bu markanın hiçbir yüzeyinde kurulmaz; kurulmadığı için de statik katmanın söyledikleri güvenle dinlenir.
BULGU OKUMA
Statik güvenlik bulgusu bir gözlemdir, hüküm değil. Üç hamlede okunur: hangi dosya, hangi desen, hangi sınıf. "Koşullu" kalem, riskin yalnız sizin ekibinizin bildiği bağlama bağlı olduğunu; "dış" kalem, düzeltmenin dosyalarda değil bir platformda yaşadığını söyler. Her satırı acil saymak haritayı israf eder; haritayı sınıf sırasıyla bir kontrol listesi gibi işlemek — tam da bunun için üretilmiştir.
DİL DENETİMİ
Güvenlik, abartının en pahalı olduğu alandır; bu yüzden iddia güvenliği taraması güvenlik metinlerine iki kat sert uygulanır. Tarama üç kalıbı arar ve engeller: sonuç vaadi ("sitenizi güvenli hâle getiririz"), yetki iması ("sızma testi dahil") ve korku pazarlaması ("her an saldırı altındasınız"). Geriye kalan dil, bu sayfada okuduğunuz dildir: dosyadan kanıt, sınıf, aksiyon — sıfat değil. Kural yalnız pazarlamaya değil, rapor gövdesine de uygulanır; bir bulgunun başlığında bile hüküm kelimesi kullanılmaz. Aynı tarama pazarlama yüzeyinde ters yönde de çalışır: güvenlik sayfası, motorun yapabildiklerini anlatırken tek bir yeteneği bile abartıyorsa metin teslim edilmez — sınır sayfası, sınırın kendisine de uygulanır. Bu simetri kasıtlıdır: okuyucuya uygulanan disiplinden yazarın muaf olduğu hiçbir metin güven üretmez. Denetimin kaydı da paketin parçasıdır: hangi metin, hangi tarihte, hangi desen listesiyle tarandı.
Hayır.
Bulguları ortak dile eşler.
Ayrı yetkili kapsamla.
Hukuk + etik + güvenilirlik.
Statik güvenlik incelemesi: secret/ifşa/riskli desen/SAST + OWASP eşleme. Aktif test yalnız yetkiyle.