Tezin Türü: Yüksek Lisans
Tezin Yürütüldüğü Kurum: Sivas Cumhuriyet Üniversitesi, Fen Bilimleri Enstitüsü, Fen Bilimleri Enstitüsü, Türkiye
Tezin Onay Tarihi: 2024
Tezin Dili: Türkçe
Öğrenci: ÖMERCAN KAĞIZMANDERE
Danışman: Halil Arslan
Özet:
Yazılım malzeme listesi, yazılım güvenliği ve
yazılım tedarik zinciri yönetiminde önemli bir bileşen olarak 2018 yılında
ortaya çıkmıştır. Yazılım malzeme listesi, yazılımları oluşturan bileşenlerin
bir listesi olarak sunulan bir envanterdir.
Son yıllarda yazılım ürünlerinin zafiyet içerip içermediği o ürünün
kullanıcıları açısından düzenli olarak kontrol edilmesi gereken bir olgudur. Bu
çalışma, yazılım malzeme listesi kavramı temelinde yazılım bileşenlerinin
sistematik bir şekilde belirlenmesi ve bu bileşenler üzerinden güvenlik açığı
analizlerinin yapılmasını ele almaktadır. Bir yazılım ürününün kendisinin
güvenlik açığı içermemesi o yazılım ürününün güvenli olduğu anlamına gelmez.
Yazılım projeleri tek başına incelendiğinde herhangi bir güvenlik açığı
içermese de bileşenlerinde güvenlik açıkları olabilir. Ürünün bağımlılıklarında
ya da bileşenlerinde yer alan güvenlik açıkları siber saldırganlar için o ürünün
istismar edilmesi için yeterli olabilmektedir. Yazılım bileşenlerinden kaynaklı
güvenlik açıklarının yol açtığı tahribatı en aza indirmek, siber güvenlik
çalışmalarının temelini oluşturur. Bu çalışmada, yazılım geliştirme/dağıtım
ortamlarında (CI/CD) yazılım malzeme listesinin (SBOM) otomatik olarak
üretilmesinin ve bu malzeme listesi üzerinden zafiyet analizinin yapılmasının
gerekliliği gösterilmiş ve buna uygun bir model önerilmiştir.