SBOM (Software Bill of Materials) 2026 yılında supply chain güvenliğinin temel taşı haline geldi. Sonatype State of the Software Supply Chain 2025 raporu, malicious npm/PyPI paket sayısının 245.000’i aştığını; Snyk State of Open Source 2025 ise kurumsal uygulamaların %85’inin transitive bağımlılıklarla risk taşıdığını gösteriyor.
SBOM Nedir ve 2026 Regülasyon Bağlamı
SBOM, bir yazılım ürününün içerdiği tüm bileşenleri, sürümleri, lisansları ve ilişkilerini standart formatta listeleyen yapılandırılmış belgedir. ABD Executive Order 14028 (2021) federal tedarikçiler için SBOM’u zorunlu kıldı; NIST SP 800-218 (SSDF) v1.1 onu Secure Software Development Framework’ün omurgasına yerleştirdi. EU Cyber Resilience Act (CRA) Aralık 2024’te yürürlüğe girdi ve 2027’den itibaren AB’de satılan tüm yazılım ürünlerinde SBOM’u zorunlu kılıyor.
Gartner 2025 SBOM Hype Cycle raporu, kurumsal benimsemenin “Slope of Enlightenment” aşamasında olduğunu ve 3 yıl içinde Fortune 1000’in %70’inde production’a gireceğini öngörüyor. Ortalama bir enterprise uygulamada 1.500-3.000 dependency mevcut ve transitive derinlik 8 seviyeyi geçiyor; manuel envanter imkansız.
CycloneDX vs SPDX: Format Karşılaştırması
İki baskın SBOM formatı CycloneDX ve SPDX. OWASP CycloneDX, güvenlik odaklı (VEX, vulnerability exploitability exchange entegrasyonu) ve JSON-first; SPDX (Linux Foundation, ISO/IEC 5962:2021 standart) lisans uyumluluğunda güçlü ve SPDX-License-Identifier ile geniş ekosistem. NTIA Minimum Elements for SBOM 7 alan tanımlıyor; her iki format da karşılıyor.
| Özellik | CycloneDX 1.6 | SPDX 2.3 |
|---|---|---|
| Sahibi | OWASP Foundation | Linux Foundation |
| Format | JSON, XML, ProtoBuf | JSON, YAML, RDF, tag-value |
| VEX desteği | Native (CycloneDX VEX) | Eklenti (CSAF VEX) |
| Lisans modeli | SPDX-License-Identifier | SPDX expression dili |
| ML model SBOM | ML-BOM (1.5+) | Planlama aşamasında |
| Yaygınlık (2025) | %58 kurumsal kullanım | %42 kurumsal kullanım |
SBOM Üretim Araçları: Syft, Trivy, Cdxgen
SBOM üretimi geliştirme, build, container image, ve runtime aşamalarında yapılabilir. Anchore Syft 35.000+ GitHub yıldızıyla CLI-first ve hem CycloneDX hem SPDX çıktısı verir. Aqua Trivy hem SBOM hem vulnerability tarama yapar. CycloneDX cdxgen Java/Python/Node.js manifest dosyalarından deep dependency analizi sunar.
- Syft: Container image, file system, OCI registry tarama; 50+ ekosistem desteği
- Trivy: SBOM + CVE + IaC + secret tarama, tek araçta konsolide
- cdxgen: Build-time analysis, evidence collection, ML-BOM ve SaaSBOM
- GitHub Dependency Graph: Native SBOM export, organizasyon ölçekli ücretsiz
- Microsoft SBOM Tool: .NET ve Windows ekosistemine optimize
İlgili konu: Tedarik zinciri güvenliği rehberimizde SBOM’un DevSecOps pipeline’ındaki yerini detaylandırdık.
Vulnerability Tarama: Grype ve Dependency-Track
SBOM üretildikten sonra zafiyet eşleştirme ve sürekli izleme gerekir. Anchore Grype, Syft tarafından üretilen SBOM’u GitHub Security Advisory, NVD, Alpine SecDB ve Wolfi advisories ile eşleştirir; tarama p95 süresi 100MB image için 8 saniye. OWASP Dependency-Track, organizasyon ölçekli SBOM ingestion, policy violation, OSV-Scanner entegrasyonu ve Trend dashboard sunar.
Dependency-Track 4.12 versiyonu (2025) ML-BOM ve SaaSBOM desteği eklendi; Fortune 500 şirketlerinin %38’i kullanıyor. CycloneDX VEX desteği ile “uygulamamızda Log4j var ama exploitable değil” tipi kararları belgeliyor. OSV.dev üzerinden günde 800+ yeni güvenlik açığı yayınlanıyor; manuel takip imkansız.
CI/CD Entegrasyonu: GitHub Actions ve GitLab
SBOM’u CI/CD’ye gate olarak yerleştirmek, build aşamasında kritik CVE’lere blok koymanın yoludur. GitHub Actions için anchore/sbom-action ve aquasecurity/trivy-action, GitLab için container_scanning template ve dependency_scanning template standart. Sigstore Cosign ile SBOM imzalama ve attestation ekleme, supply chain attack’lara karşı integrity sağlar.
| CI Platform | SBOM Aksiyon | Çıktı Formatı | İmzalama |
|---|---|---|---|
| GitHub Actions | anchore/sbom-action | SPDX, CycloneDX | Cosign Sign |
| GitLab CI | cyclonedx-gitlab-template | CycloneDX | GitLab Signed |
| CircleCI | circleci/syft orb | SPDX, CycloneDX | Cosign manual |
| Jenkins | dependency-track-publisher | CycloneDX | Manuel |
| Azure DevOps | Microsoft SBOM Tool | SPDX | Notary v2 |
Sektörel Use Case: Sağlık, Finans, Otomotiv
FDA, tıbbi cihaz üreticilerinden 2023 itibarıyla “Cybersecurity in Medical Devices” rehberi kapsamında SBOM talep ediyor; PMA başvurularının %96’sı SBOM içeriyor. Finans sektöründe FFIEC IT Examination Handbook 2024 update, third-party risk yönetiminde SBOM’u kontrol noktası olarak ekledi. Otomotivde ISO/SAE 21434 ve UNECE WP.29 R155, ECU yazılımlarında SBOM’u zorunlu kılıyor.
Kurumsal SBOM Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- SBOM’un yalnızca compliance gereği üretilmesi — depolanmadığı için arıza anında sorgulanamıyor
- Build-time yerine post-build container scan ile SBOM çıkarılması — source code dependency’leri kaybediliyor
- VEX (Vulnerability Exploitability eXchange) kullanılmaması — false positive CVE’ler ekibi alarm yorgunluğuna sürüklüyor
- Üçüncü taraf vendor SBOM’larının talep edilmemesi — kurumsal envanter tamamlanamıyor
- SBOM’un attestation ile imzalanmaması — SBOM’un kendisi tahrif edilebilir hale geliyor
- Container base image (alpine, distroless) güncellemelerinin SBOM diff’i ile izlenmemesi
Sonuç
SBOM 2026’da artık “compliance kutusu işaretleme” değil, supply chain saldırılarına karşı tek somut savunma aracı. CycloneDX + Syft + Dependency-Track üçlüsüyle 90 günlük pilot başlatın; CI’de gate, organizasyon ölçeğinde central registry, runtime’da continuous monitoring. CRA 2027 yürürlüğüne kadar AB pazarına ürün satan tüm yazılım üreticilerinin SBOM altyapısı olgunluğa ulaşmış olmalı. Pilot için en kritik 5 production servisinizden başlayın; Log4Shell benzeri bir olayda 4 saatte “etkilenmiş ürünlerimiz hangileri” sorusuna net yanıt verebilmek hedefiniz olsun.
Sıkça Sorulan Sorular
CycloneDX mi SPDX mi seçmeliyim?
Güvenlik odaklı ekipler için CycloneDX, lisans uyumluluğu odaklı ekipler için SPDX. Çoğu modern araç (Syft, Trivy) her iki formatı da üretiyor; ikisini birden çıkarmak ekstra maliyet getirmiyor. Sonatype 2025 verisine göre kurumsal kullanımda CycloneDX %58, SPDX %42.
SBOM ne kadar sık güncellenmeli?
Her build’de yeniden üretilmeli (immutable artifact). Production’da bir CVE açıklandığında SBOM’u yeniden taramak (Grype rescan) standart pratik; OSV.dev günde 800+ yeni advisory yayınlıyor. Dependency-Track polling 12 saatte bir varsayılan, kritik servislerde 1 saate düşürülebilir.
VEX nedir ve neden gerekli?
VEX (Vulnerability Exploitability eXchange), bir CVE’nin sizin uygulamanızda exploit edilebilir olup olmadığını belgeler. Log4Shell sırasında uygulamaların %47’sinde Log4j vardı ama yalnızca %12’sinde exploitable yoldaydı. VEX olmadan tüm CVE’leri patchlemeye çalışmak ekipleri batırıyor.
SBOM tedarikçimden nasıl talep ederim?
Sözleşmeye SBOM teslim maddesi ekleyin; format (CycloneDX 1.6 veya SPDX 2.3), teslim sıklığı (her release), imzalı attestation şartı belirtin. CISA SBOM Buyers Guide 2024 standart şablon sunuyor; FedRAMP onaylı SaaS sağlayıcılarda 2025’ten itibaren SBOM teslim zorunlu.
Açık kaynak araçlar production için yeterli mi?
Syft + Grype + Dependency-Track üçlüsü 80% senaryoya yeter. Enterprise gereksinimler (SLA, kompleks rol yönetimi, on-premise air-gapped) için Anchore Enterprise, Snyk, JFrog Xray ticari çözümler. Pilot ve mid-market için açık kaynak yeterli; Fortune 500’de hibrit kullanım yaygın.
Ömer ÖNAL
Mayıs 23, 2026SBOM’u ‘compliance kutusu işaretleme’ olarak gören kurumlar 12-18 ay sonra geri dönüyor çünkü Log4Shell benzeri bir olayda 4 saatte sorulan ‘etkilenmiş ürünlerimiz hangileri’ sorusuna cevap veremiyorlar. Doğru yaklaşım: SBOM’u CI/CD’de gate olarak değil, runtime’da arıza analizi aracı olarak konumlandırmak. CycloneDX + Syft + Dependency-Track üçlüsüyle başlayın. — Ömer Önal