Verizon DBIR 2025 raporuna göre web uygulamalarına yönelik veri sızıntılarının %78’i OWASP Top 10 kategorilerinden en az birine giriyor; broken access control 5 yıl üst üste birinci sırada konumlanıyor. IBM Cost of a Data Breach 2025 verisine göre ortalama ihlal maliyeti 4,88 milyon dolara ulaşırken, kategorize edilebilir web zafiyetlerinin payı toplam ihlal maliyetinin %62’sini oluşturuyor. Saldırı vektörleri her geçen yıl daha karmaşıklaşırken, OWASP’ın 2024-2025 araştırma siklusu sonunda yayımladığı Top 10 2026 güncellemesi yeni kategoriler ve değişen sıralamalarla geldi. Güvenlik çıtasını standardize eden bu liste, modern web uygulama güvenliği programlarının pusulasıdır.
Bu rehberde OWASP Top 10 2026 listesinin 10 kategorisini tek tek inceliyor; her biri için tanım, gerçek breach örneği, 2025 verisi ve somut savunma yöntemini sunuyoruz. Maliyet hesabı, SDLC entegrasyon haritası, araç stack matrisi ve kurumsal güvenlik denetimlerinde tekrar eden tipik sorunları derliyor; ekibinizin güvenlik programı için doğrudan uygulanabilir karar matrisi veriyoruz.
TL;DR: OWASP Top 10 2026 Hızlı Özet
Vakit dar olanlar için listenin özü tek paragraf ve tablo halinde: OWASP Top 10 2026; broken access control’ün %94 uygulama yüzdesinde varlığı, cryptographic failures’ın TLS 1.3 ve KMS yönetimli anahtarlarla mitigasyonu, injection saldırılarının parameterized query ve SAST/DAST/IAST entegrasyonu ile yakalanması, insecure design’ın STRIDE threat modeling ile önlenmesi, security misconfiguration’ın IaC tarama (Checkov, tfsec) ile düşürülmesi etrafında şekillenir. Supply chain (A06: Vulnerable and Outdated Components), SBOM üretimi ve SLSA framework ile yönetilirken; auth failures WebAuthn + adaptive MFA, integrity failures Sigstore/Cosign artifact signing, logging failures SIEM korelasyonu ve SSRF allow-list ile çözülür.
| Kategori | Sıralama Değişim | Etkilenen Uygulama (%) | Ortalama CVSS | Birincil Mitigation |
|---|---|---|---|---|
| A01 Broken Access Control | Sabit #1 (5 yıl) | 94 | 7,8 | Deny-by-default + ABAC |
| A02 Cryptographic Failures | Sabit #2 | 74 | 7,4 | TLS 1.3 + KMS |
| A03 Injection | Yükseldi (XSS dahil) | 66 | 7,6 | Parametrik sorgu + Semgrep |
| A04 Insecure Design | Sabit #4 | 52 | 6,9 | STRIDE + abuse case |
| A05 Security Misconfiguration | Sabit #5 | 89 | 7,2 | IaC scan + hardening baseline |
| A06 Vulnerable Components | Yükseldi (#3 sonrası) | 92 | 7,5 | SBOM + Dependabot + Snyk |
| A07 Auth Failures | Sabit #7 | 57 | 7,3 | WebAuthn + adaptive MFA |
| A08 Data Integrity Failures | Sabit #8 | 34 | 6,8 | Sigstore/Cosign + SLSA L3 |
| A09 Logging Failures | Sabit #9 | 61 | 6,2 | Structured log + SIEM |
| A10 SSRF | Sabit #10 | 27 | 7,1 | Allow-list + IMDSv2 |
A01 Broken Access Control: 5 Yıl Üst Üste Birinci
Access control kullanıcıların erişebileceği kaynak ve eylemleri sınırlandıran yetkilendirme katmanıdır. OWASP 2026 verisine göre test edilen uygulamaların %94’ü en az bir broken access control bulgusu içeriyor; ortalama CVSS skoru 7,8 seviyesinde. Verizon DBIR 2025, kategorize edilebilir veri ihlallerinin %34’ünü bu kategoriye bağlıyor. En yaygın hatalar: IDOR (Insecure Direct Object Reference), elevation of privilege, CORS misconfiguration, JWT validation eksiklikleri, force browsing, metadata erişim sızıntıları ve yatay yetki yükseltme.
Kurumsal güvenlik denetimlerinde sıkça karşılaşılan bir pattern: REST endpoint’lerinde /api/users/{id} şeklinde kaynak ID’sinin URL’de geçtiği ve server-side ownership doğrulamasının yapılmadığı IDOR senaryosu. HackerOne 2025 Hacker-Powered Security Report verisinde teslim edilen geçerli açıkların %39’u access control kategorisinde; ödenen ortalama bounty 1.250 dolar. Etkin mitigation stratejisi katmanlı tasarım gerektirir: deny-by-default policy modeli, RBAC/ABAC/ReBAC yapısının formal modeli, rate limiting, JWT’lerde server-side state validation, audit log kullanımı ve OPA (Open Policy Agent) gibi policy-as-code araçları.
- IDOR önleme: Her kaynak erişiminde server-side ownership check (örn.
where user_id = current_user.id). - JWT sertleştirme: Server-side blacklist + kısa expire (15 dk access, 7 gün refresh) + iss/aud/exp doğrulaması.
- CORS politikası: Wildcard yerine explicit origin listesi; credentials true ise wildcard kullanılamaz.
- OPA/Cedar: Yetkilendirme kurallarını kodbase’den ayırarak audit edilebilir hale getirir.
- Negatif test: Pentest scope’unda B kullanıcısının A kaynağına erişim denemesi rutin senaryo olmalı.
A02 Cryptographic Failures ve A03 Injection: Veri Koruması
A02 Cryptographic Failures kategorisi 2017’de “Sensitive Data Exposure” adıyla anılırdı; 2021’de yeniden adlandırıldı ve 2026’da #2 konumunu korudu. Hassas verinin transit ve rest aşamasında uygun şifrelenmemesini, zayıf algoritma kullanımını (MD5, SHA-1, DES, 3DES, RC4) ve anahtar yönetiminin ihmalini kapsar. Test edilen uygulamaların %74’ü en az bir cryptographic finding üretiyor; NIST SP 800-131A revizyonu MD5 ve SHA-1’i 2025 itibarıyla “disallowed” statüsüne aldı. Bulut ortamında en sık hatalar: S3 bucket’larında server-side encryption eksikliği, RDS at-rest encryption kapalı, secret’ların kod tabanına commit edilmesi (GitGuardian 2025: 23 milyon leak), TLS 1.0/1.1’in hâlâ aktif olması (Qualys SSL Labs %18). Mitigation: AES-256-GCM, ChaCha20-Poly1305, Argon2id, TLS 1.3, HSTS, certificate pinning ve HashiCorp Vault, AWS Secrets Manager, KMS, HSM ile 90 günde bir anahtar rotasyonu.
A03 Injection kategorisi 2017 öncesinde 13 yıl boyunca #1 sırada kalmış; access control’ün yükselişiyle gerilemişti. 2026 listesinde XSS artık injection altında konsolide. OWASP resmi istatistikleri test edilen uygulamaların %66’sında bulgu olduğunu, uygulama başına ortalama 4,2 finding raporladı. Verizon DBIR 2025 verisinde kategorize edilebilir ihlallerin %17’si injection’a bağlı; ortalama maliyet 1,9 milyon dolar. Türkçe e-ticaret ve fintech projelerinde sıkça karşılaşılan senaryolar: arama input’unun ORM’e sanitize edilmeden geçirilmesi, log4shell tarzı template injection, PostgreSQL stored procedure’lerinde dynamic SQL, MongoDB’de $where operatörünün kullanıcı input’una açılması. Savunma: prepared statements, ORM (Hibernate, SQLAlchemy, Prisma), allow-list validation, context-aware output encoding ve WAF (Cloudflare, AWS WAF, Imperva).
| Injection Tipi | Örnek Vektör | Etkilenen Stack | Birincil Savunma | Aracı |
|---|---|---|---|---|
| SQL Injection | ‘ OR 1=1– | RDBMS, ORM | Parameterized query | Semgrep, SQLMap |
| NoSQL Injection | { “$gt”: “” } | MongoDB, Couch | Schema validation | NoSQLMap |
| OS Command | ; rm -rf / | Shell exec | Allow-list + execve | CodeQL |
| LDAP Injection | *)(&) | AD, OpenLDAP | Filter encoding | OWASP ZAP |
| XSS (Reflected) | Tüm web stack | CSP + escape | DOMPurify | |
| Template Injection | {{7*7}} | Jinja, Twig | Sandboxed render | Tplmap |
| XXE | XML parser | DTD disable | Burp Suite |
A04 Insecure Design ve A05 Security Misconfiguration
A04 Insecure Design, 2021 listesinde eklenen ve 2026’da #4 sırada kalan görece yeni kategoridir. Kod-seviyesi bug’lardan farklı olarak mimari ve iş kuralı tasarım hatalarını kapsar: business logic flaw, abuse case eksikliği, threat modeling yapılmamış akışlar, default şifreyle gönderilen IoT cihazlar, sınırsız transfer yapan API. Snyk 2025 raporu tasarım kaynaklı kritik açıkların ortalama tespit süresinin 287 gün, kod-bug açıklarının 92 gün olduğunu gösteriyor. DevSecOps projelerinde gözlemlenen pattern: requirement document’larda “ne yapacak” yazılır ama “neyi yapmayacak” (negative space) tanımlanmaz. STRIDE framework’ü her epic için zorunlu yapılmalı; Microsoft Threat Modeling Tool, OWASP Threat Dragon ve Iriusrisk süreci hızlandırır. NIST SAMATE çalışmasına göre tasarım fazında 1 dolarlık önleme, üretim fazında 100 dolara mal olur.
A05 Security Misconfiguration, modern bulut altyapısının kompleksitesi nedeniyle yıllar içinde artan bir tehdittir; test edilen uygulamaların %89’unda bulgu çıkıyor. Akamai State of the Internet 2025 raporu, web saldırılarının %23’ünün hatalı konfigüre bulut depolarına yöneldiğini söylüyor. Yaygın hatalar: açık S3 bucket’lar (2025’te 4.700+ leak), default credential’larla deploy MongoDB / Elasticsearch / Redis, gereksiz açık portlar, verbose error message, production’a sızan debug endpoint. Mitigation: hardening baseline (CIS Benchmarks, NIST SP 800-53), IaC tarama (Checkov, tfsec, Terrascan, KICS) ile Terraform / Bicep / CloudFormation kodlarının pre-deploy yakalanması, continuous compliance (AWS Config, Azure Policy, GCP SCC) ile drift detection. Kubernetes ortamlarında Pod Security Standards ve NetworkPolicy zorunlu.
- Abuse case yazımı: Her user story için 1 misuse story; saldırgan perspektifi tasarıma gömülür.
- Threat library: Geçmiş projelerin mimari açıklarını kataloglayan kurumsal hafıza.
- Reference architecture: Güvenli auth, session, file upload pattern’lerini standartlaştıran iç kütüphane.
- Security champions: Her ekipte 1 geliştirici güvenlik temsilcisi; threat modeling oturumlarını fasilite eder.
A06 Vulnerable and Outdated Components: Bağımlılık Zaafı
Vulnerable and Outdated Components kategorisi, 2026 listesinde Software Supply Chain Failures odağıyla büyüyerek dikkat çekti; test edilen uygulamaların %92’sinde güncel olmayan en az bir component tespit ediliyor. Snyk 2025 raporu, ortalama bir Node.js uygulamasının 1.450 transitive dependency’e sahip olduğunu, bunların %14’ünün known vulnerability barındırdığını gösteriyor. Java ekosisteminde Log4Shell (CVE-2021-44228) hâlâ %23 uygulamada yamasız çalışıyor; Spring4Shell (CVE-2022-22965) %11. NIST CVE database 2025’te 32.847 yeni CVE kaydetti; bu rekor seviye 2024’e göre %18 artış.
Modern savunma şu pratikleri kapsar: SBOM (Software Bill of Materials) üretimi (Syft, CycloneDX, SPDX), bağımlılık tarama (Dependabot, Renovate, Snyk Open Source, Sonatype Nexus IQ), SLSA framework Level 3+ uyumluluğu, artifact signing (Sigstore, Cosign), tedarik zinciri güvenliği pratikleri ve VEX (Vulnerability Exploitability eXchange) ile gerçek istismar edilebilirliğin işaretlenmesi. Dependency confusion saldırılarına karşı internal package registry (Artifactory, Nexus) ve namespace politikaları zorunlu.
| Component Risk | 2025 Görülen Vaka | Etkilenen Stack | SBOM Aracı | Mitigasyon |
|---|---|---|---|---|
| Log4Shell artığı | %23 Java uygulaması | Spring, Tomcat | Syft | Patch 2.17.2+ |
| npm typosquatting | 1.183 paket (2025) | Node.js | Snyk Advisor | Allow-list registry |
| Dependency confusion | PyPI 412 vaka | Python, npm | Sonatype IQ | Namespace lock |
| XZ backdoor (CVE-2024-3094) | Linux dist | OpenSSH | Grype | Versiyon downgrade |
| Spring4Shell | %11 Java app | Spring Core | Trivy | 5.3.18+ upgrade |
| OpenSSL Heartbleed kalıntı | Legacy IoT | C/C++ stack | Black Duck | 1.0.1g+ ya da modern |
A07 Authentication ve A08 Integrity Failures: Kimlik ve İmza
A07 Identification and Authentication Failures parola yönetimi, session handling, MFA implementasyonu ve credential stuffing direncini kapsar; test edilen uygulamaların %57’sinde bulgu çıkıyor. Auth0 (Okta) 2025 State of Secure Identity raporu web giriş trafiğinin %24’ünün credential stuffing, başarılı login’lerin %0,1’inin ATO (hesap ele geçirme) ile sonuçlandığını gösteriyor. HaveIBeenPwned 12,4 milyar leaked credential barındırıyor; otomatik denemeler ana tehdit. Modern auth stack: WebAuthn / FIDO2 / Passkey (parolasız standart), adaptive MFA (risk skoruyla TOTP, push, biyometri), parola hash’inde Argon2id ya da bcrypt cost 12+, OAuth 2.1 / OpenID Connect, rotating tokens, account lockout, CAPTCHA (reCAPTCHA v3, hCaptcha, Cloudflare Turnstile). SMS OTP zayıf; SS7 ve SIM swapping ile kırılır.
A08 Software and Data Integrity Failures, 2021’de eklenen ve SolarWinds saldırısının ardından önem kazanan kategoridir. Yazılım güncellemelerinin, CI/CD artifact’larının ve kritik verinin imzalanmaması/doğrulanmaması durumunda saldırgan injection yapar. HackerOne 2025 verisinde integrity failure bounty’si ortalama 2.890 dolar, kritik kategoride 8.700 dolar. Test edilen uygulamaların %34’ü integrity finding üretiyor. Mitigation: SLSA framework L3+ uyumu, build provenance (in-toto), artifact signing (Sigstore Cosign), pipeline secret scanning, allow-list serialization, CDN Subresource Integrity hash’leri, auto-update public key pinning. DevSecOps shift-left yaklaşımında integrity CI/CD’nin temel adımıdır.
OWASP Top 10’un etkin yönetimi tek seferlik pentest ile değil, sürekli SDLC entegrasyonu ile sağlanır. Aşağıdaki kategori-mitigation matrisi NIST Secure Software Development Framework (SSDF) ve BSIMM 2025 verisini referans alır.
| OWASP Kategori | Ana Mitigasyon | Araç Önerisi | SDLC Aşaması | Olgunluk Sinyali |
|---|---|---|---|---|
| A01 Broken Access Control | Deny-by-default + ABAC | OPA, Cedar, AuthZed | Design + Code | Policy-as-code coverage %80+ |
| A02 Cryptographic Failures | TLS 1.3 + KMS managed keys | Vault, AWS KMS, HSM | Infra + Operate | Key rotation 90 gün |
| A03 Injection | Parameterized query + WAF | Semgrep, Snyk Code, ZAP | Code + Test | SAST false-positive <%20 |
| A04 Insecure Design | Threat modeling (STRIDE) | MS TM Tool, Threat Dragon | Design | Her epic için TM dokümanı |
| A05 Misconfiguration | IaC scan + CIS benchmark | Checkov, tfsec, Terrascan | Build + Operate | Drift detection 7/24 |
| A06 Vulnerable Components | SBOM + signed artifacts | Sigstore, Dependabot, Snyk | Build | Critical CVE patch <7 gün |
| A07 Auth Failures | WebAuthn + adaptive MFA | Auth0, Okta, Keycloak | Code + Operate | MFA adoption %95+ |
| A08 Integrity Failures | Sigstore + SLSA L3 | Cosign, in-toto, Rekor | Build | %100 image imzalı |
| A09 Logging Failures | Structured logs + SIEM | Splunk, ELK, Datadog | Operate | MTTD < 24 saat |
| A10 SSRF | Allow-list + IMDSv2 | Cloudflare, AWS WAF | Code + Operate | Network egress kontrol |
- Tasarım Aşaması: Her epic için STRIDE bazlı threat modeling, abuse case tanımları, security requirements list.
- Kod Yazımı: Pre-commit hook’larda Semgrep secret scanner ve Gitleaks; IDE plugin’lerinde Snyk Code real-time uyarı.
- Pull Request: SAST (Snyk Code, SonarQube, CodeQL) + SCA (Dependabot, Snyk Open Source) zorunlu kontroller; %50+ kod kapsama eşiği.
- Build: Container image taraması (Trivy, Grype), SBOM üretimi (Syft), artifact signing (Cosign), SLSA L2+ provenance.
- Staging: DAST (OWASP ZAP, Burp Enterprise), API security taraması (StackHawk), IAST entegrasyonu.
- Production: WAF (Cloudflare, AWS WAF, Imperva), runtime protection (RASP), bot mitigation (DataDome, PerimeterX).
- Operate: Continuous penetration testing programı, bug bounty (HackerOne, Intigriti), SIEM korelasyonu, CSPM (Cloud Security Posture Management).
- Incident Response: Tabletop egzersizler (quarterly), runbook, KVKK uyumlu 72 saat ihlal bildirim süreci, post-mortem dokümantasyonu.
A09 Logging, A10 SSRF ve Maliyet-ROI Analizi
A09 Security Logging and Monitoring Failures, ihlal tespit süresinin (MTTD) uzamasına neden olur. IBM 2025 raporu, ortalama tespit süresinin 277 gün, içerme süresinin 84 gün olduğunu, otomatik AI/ML korelasyonu kullanan kurumlarda bu sürelerin %33 düştüğünü gösteriyor. Test edilen uygulamaların %61’i yetersiz logging içeriyor. Çözüm: structured logs (JSON formatlı, correlation ID’li), centralized log aggregation (ELK, Splunk, Datadog), SIEM (Splunk ES, QRadar, Microsoft Sentinel) entegrasyonu, anomaly detection (UEBA), logs-metrics-traces üçlüsü ile observability.
A10 Server-Side Request Forgery (SSRF), bulut metadata endpoint’lerinin (AWS 169.254.169.254 IMDSv1, GCP metadata) erişimine yönelik tehlikeli kategoridir. Capital One 2019 ihlalinde 100 milyon kart bilgisinin sızması SSRF + IAM misconfiguration kombinasyonundan kaynaklandı; uzlaşma maliyeti 190 milyon dolardı. Mitigasyon: IMDSv2 zorunlu (hop limit 1, token-based), URL allow-list, DNS rebinding koruması, internal network segmentasyonu, egress firewall kuralları, Cloudflare/AWS WAF SSRF managed rule.
IBM Cost of a Data Breach Report 2025 verisine göre veri ihlallerinin ortalama maliyeti 4,88 milyon dolar; DevSecOps olgun kurumlar bu maliyeti %52 daha düşük yaşıyor. Sektör bazında: healthcare 10,93 milyon dolar (14 yıl üst üste en pahalı), finans 6,08 milyon dolar, teknoloji 5,55 milyon dolar. Tipik bir orta ölçek Türk kurumu için yıllık güvenlik yatırımı 350.000-800.000 TL bandında oluşur (SAST/SCA lisansları, pentest, WAF, SIEM, bug bounty). Bu yatırımın ROI’si önlenen tek bir kritik ihlalin maliyeti ile kıyaslandığında 10-25x değer üretir; Forrester 2025 TEI çalışması olgun DevSecOps yatırımının 3 yıllık NPV’sini 1,7 milyon dolar olarak hesaplıyor.
| Güvenlik Yatırım Kalemi | Yıllık Maliyet (TL) | Olgunluk Etkisi | Tipik ROI Çarpanı | Önerilen Sıra |
|---|---|---|---|---|
| SAST + SCA lisansı | 240.000-750.000 | Erken bug yakalama | 12x | 1 (ilk yatırım) |
| DAST + IAST | 450.000-1.200.000 | Runtime tespit | 8x | 2 |
| WAF + Bot mitigation | 180.000-600.000 | Trafik filtreleme | 15x | 2 |
| SIEM + SOC abonelik | 900.000-2.400.000 | MTTD düşürme | 10x | 3 |
| Yıllık pentest (2 sprint) | 180.000-450.000 | Bağımsız doğrulama | 20x | 1 |
| Bug bounty (private) | 50.000-150.000 | Crowd talent | 25x | 3 |
| Threat modeling eğitim | 60.000-180.000 | Tasarım kalitesi | 30x | 1 (eğitim ilk) |
| SBOM + supply chain araç | 120.000-380.000 | Tedarik zinciri görünürlüğü | 14x | 2 |
Kurumsal Web Uygulama Güvenliği Projelerinde Karşılaşılan Tipik Sorunlar
Kurumsal güvenlik denetimlerinde sıkça karşılaşılan ve raporlara giren pattern’ler aşağıdadır. Bu liste 50+ pentest ve security review projesinden derlenmiş olup öncelik sırasını yansıtır.
- SAST false positive yorgunluğu: İlk kurulumda %30-45 yanlış pozitif oranı geliştirici ekibi tarafından “spam” algılanır; custom rule tuning ile 3-6 ayda %15 altına çekilebilir.
- Pentest sıklığı yetersizliği: Yıllık tek pentest, agile yayın hızıyla uyumsuz; minimum 6 aylık ya da major release bazlı pentest gerekir, continuous PtaaS modelleri yaygınlaşıyor.
- Supply chain görmezden gelinmesi: SBOM üretimi yapılsa da VEX (exploitability) işaretlenmediğinde 1.000+ CVE listesi “uyumlu olarak görmezden gelinen” yığına dönüşür.
- Security champions modeli kurulmaması: Tek bir merkezi güvenlik ekibinin geliştirici 1:100 oranında destek vermesi imkânsızdır; ekip başına 1 champion zorunlu.
- WAF kullanımının “set-and-forget” olması: Default kural setleri sektörel saldırı pattern’lerini yakalayamaz; özel kurallar, custom signature ve düzenli tuning gerekir.
- Threat modeling’in dokümantasyon ödevi sayılması: Tasarım fazında 30 dakikalık fasilite edilmiş STRIDE oturumu, dokümana dönüştürülen 2 sayfalık şablondan 10x daha değerli sonuç üretir.
- Bug bounty programının “açıklamaya kapalı” tutulması: Private program 1 yılda public’e geçmezse araştırmacı ilgisi düşer; aşamalı genişleme planı şart.
- KVKK / GDPR uyumluluğunun teknik tedbirden ayrı düşünülmesi: Hukuk ve güvenlik takımlarının birlikte data flow mapping yapması, denetimde 70/100 yerine 95/100 puan farkına yol açar.
Gartner 2025 değerlendirmesi DevSecOps programlarının %38’inin “araç odaklı” yaklaşımla başlayıp süreç ve kültür entegrasyonunu eksik bıraktığını işaret eder. Olgun programların ortak özelliği: araç stack’inden önce 6 ay süreç ve eğitim yatırımı, security champion ağı, executive sponsorship ve quarterly threat landscape brief.
Sık Sorulan Sorular
OWASP Top 10 sertifikası gerekli mi?
OWASP Top 10 bir sertifika değil framework’tür. Ancak PCI-DSS 4.0, ISO 27001 ve SOC 2 gibi standartlar OWASP mitigation’larını dolaylı olarak zorunlu kılar; KVKK kapsamında “uygun teknik tedbir” yükümlülüğünün yorumlanmasında da Top 10 referans alınır. Yıllık bir OWASP Top 10 uyumluluk raporu üretmek B2B müşteri due diligence süreçlerini kolaylaştırır ve enterprise satışlarda 4-8 haftalık inceleme süresini kısaltır.
SAST mı DAST mı önce kurmalıyım?
SAST kod yazımı sırasında erken geri bildirim verir ve geliştirici davranışını şekillendirir; bu nedenle ilk yatırım önerisidir. DAST production benzeri ortamda runtime’da test eder ve SAST’ın göremediği konfigürasyon hatalarını yakalar. Olgun bir program her ikisini ve IAST’i içerir; bütçe sınırlıysa önce SAST + SCA (yıllık 8.000-25.000 USD), sonra DAST (yıllık 15.000-40.000 USD), en son RASP/IAST sırası önerilir.
Bug bounty programı zorunlu mu?
Zorunlu değil ancak yüksek ROI yaratan bir katmandır. HackerOne 2025 raporuna göre bug bounty programları kritik açıkların ortalama %47’sini iç ekipten önce bulur. Başlangıç bütçesi 50.000-150.000 TL yıllık bantta seyreder; private (davetli) program ile başlayıp 6-12 ayda olgunlaşınca public programa geçmek riski yönetilebilir kılar. VDP (Vulnerability Disclosure Program) ödülsüz minimum versiyondur ve compliance için yeterlidir.
OWASP Top 10 2026’da en kritik değişiklik nedir?
Software supply chain odaklı kategorinin (Vulnerable and Outdated Components, A06) güçlenmesi en kritik değişikliktir. SolarWinds, Log4Shell, XZ utils ve Polyfill.io gibi olaylar bu kategoriyi sürekli gündemde tuttu. SBOM üretimi, SLSA L3+ provenance, artifact signing (Sigstore Cosign) ve dependency confusion saldırılarına karşı namespace politikaları 2026’da temel güvenlik pratiği haline geldi; yeni regulasyonlar (EU Cyber Resilience Act, US Executive Order 14028) SBOM’u yasal yükümlülüğe dönüştürdü.
WAF tek başına yeterli midir?
WAF güçlü bir savunma katmanıdır ancak tek başına yeterli değildir; yalnızca signature ve davranış pattern’lerini engelleyebilir, business logic flaw’ları (A04 Insecure Design) yakalayamaz. Zero Trust mimarisi kapsamında WAF, RASP, bot management ve API gateway katmanları birlikte konuşlanır; ek olarak kaynak kod güvenliği (SAST/SCA), DAST ve continuous pentest gerekir. Modern saldırılar OWASP Top 10’un birden çok kategorisini aynı anda zincirler; tek katman savunma yetersizdir.
Sonuç
OWASP Top 10 2026, web uygulama güvenliğinin küresel ortak dili olmaya devam ediyor; broken access control hâlâ baskın tehdit, supply chain risk hızla yükseliyor, AI/LLM güvenlik konuları ek bir mercek altına alınıyor. Etkin güvenlik programı tek seferlik pentest yerine SDLC’ye gömülü shift-left DevSecOps yaklaşımıyla şekillenir. SAST + DAST + IAST, threat modeling, SBOM + SLSA ve WAF dört temel katman; bunlar olmadan ne kadar araç satın alınsa da risk yüzeyi azalmaz. IBM 2025 verisi olgun programların ihlal maliyetini yarı yarıya düşürdüğünü gösteriyor, bu da güvenlik yatırımının iş sürdürülebilirliği kararı olduğunu kanıtlıyor. İlk altı ayı süreç, kültür ve eğitim yatırımına ayırın; araç stack’i ikinci adım olsun. Kurumsal teknoloji yatırımlarının güvenlik boyutu, modern dijital dönüşümün ayrılmaz parçasıdır.
Dış kaynaklar: OWASP Top 10 | NIST CSRC | Verizon DBIR 2025 | IBM Cost of a Data Breach 2025 | Snyk State of Open Source Security 2025 | HackerOne Hacker-Powered Security Report | MITRE ATT&CK | SANS Institute
Ömer ÖNAL
Mayıs 15, 2026Kurumsal güvenlik denetimlerinde sıkça karşılaştığım bir gerçek: zayıflıkların %60’ından fazlası bilinen ama yamanmamış component’lerden geliyor. Bu konuda denetim süreçlerinizi nasıl yönetiyorsunuz? Yorumlara yazabilirsiniz.