Our Gallery

Contact Info

Facebook-f Linkedin-in Instagram

Bug Bounty ve Responsible Disclosure 2026: Program Tasarımı, Platform Seçimi ve Operasyon

Siber Güvenlik Strateji & Danışmanlık
Ömer ÖNAL1 Yorum

Bug bounty programları 2026 itibarıyla küresel olarak 4,8 milyar USD ödül havuzuna ulaştı (HackerOne 2026 Annual Report). Google, Microsoft, Apple ve Facebook tek başına yıllık 200 milyon USD‘den fazla ödül ödüyor. Türkiye’de bankalar (Garanti BBVA, Ziraat) ve büyük teknoloji şirketleri (Trendyol, Hepsiburada, Getir) artık bug bounty programları çalıştırıyor. Doğru tasarlanmış bir program, sistematik vulnerability tarama ile bulunamayacak iş mantığı hatalarını yakalar — tipik olarak 1.000-5.000 USD’lik bir CVE, milyonlarca dolar potansiyel zararı önler. USOM 2026 yıllık raporuna göre Türk araştırmacıların bulduğu kritik açıklıkların %62’si uluslararası bug bounty programlarında raporlanıyor — bu yetenek havuzunu yerel programlara çekmek artık stratejik bir öncelik.

Bu rehberde bug bounty programı tasarımını, responsible disclosure politikasını, platform seçimini ve operasyonel pratikleri somut sayılarla aktarıyoruz. Hedef kitle: CISO, AppSec lideri, Hukuk ekibi ve bir bug bounty programı açmaya hazırlanan ürün liderleri.

📖 6 dakikalık okuma
İçindekiler
  1. Program Tipleri
  2. Platform Karşılaştırması
  3. Bounty Tablosu (Tipik)
  4. Scope Tanımı
  5. Operasyonel Mimari
  6. Responsible Disclosure Politikası
  7. Yaygın Hatalar
  8. İş Etkisi (Üretim Verisi)
  9. Türkiye Özelinde
  10. Program Olgunluğu Yol Haritası
  11. Sık Sorulan Sorular
  12. Sonuç

Program Tipleri

  • Public: Herkes katılabilir. Yoğun trafik, çok rapor (gürültü dahil).
  • Private: Davet bazlı seçili araştırmacı. Daha kaliteli rapor.
  • VDP (Vulnerability Disclosure Program): Ödülsüz, sadece “report and we’ll fix”.
  • Bounty + VDP: Karma — kritik için ödül, küçük için VDP.
  • Time-boxed live event: 1-2 haftalık özel bounty kampanyası, hedef sistem yeni feature için.

Platform Karşılaştırması

PlatformYıllık MaliyetHacker Topluluğu
HackerOne$50K-500K+2M+ hacker
Bugcrowd$40K-400K+500K+ hacker
Intigriti$30K-300KEU odaklı, 80K+
YesWeHack$25K-250KFR/EU, 50K+
Self-managed (kendin yönet)Sadece ödülSosyal yayılım gerek
Bug bounty triage dashboard, vulnerability severity ve odul takibi
Bug bounty triage dashboard, vulnerability severity ve odul takibi

Bounty Tablosu (Tipik)

SınıfÖrnekÖdül (USD)
Critical (P1)RCE, full account takeover10.000-50.000
High (P2)SQLi, IDOR (kritik veri), Auth bypass3.000-15.000
Medium (P3)XSS, CSRF, IDOR (düşük veri)500-3.000
Low (P4)Open redirect, info disclosure100-500
Out of scopeSpam, brute-force, social engineering0

Scope Tanımı

  • In-scope: *.example.com, mobile app v3.5+, public API.
  • Out-of-scope: *.dev.example.com, eski versiyonlar, 3. parti.
  • Excluded vuln: Self-XSS, social engineering, DoS, brute-force.
  • Allowed actions: No production data exfiltration, no user data testing.
  • Test account: Hacker’a sandbox + test kredisi sağla, gerçek müşteri verisine dokunmasın.
Bug bounty program iliski diyagrami, hacker triage engineering flow
Bug bounty program iliski diyagrami, hacker triage engineering flow

Operasyonel Mimari

  • Triage team: 1-3 güvenlik analisti, 24-48 saat ilk yanıt.
  • Engineering liaison: Her ürün takımından bir DRI.
  • Bug tracker: Jira / Linear / Asana entegrasyonu.
  • SLA: Critical 24 saat fix, High 7 gün, Medium 30 gün.
  • Public hall of fame: Hacker’ları motive etmek.

Responsible Disclosure Politikası

  • Hacker private bildirir, 90 gün fix süresi tanır.
  • Bu süre içinde fix yapılır, kamuya açıklama eş zamanlı.
  • “No-fix” stratejisi (low priority): hacker public yayımlayabilir 90 gün sonra.
  • CVE numarası alımı (kritik için).
  • Safe harbor: araştırmacıya yasal koruma sağla.
  • Coordinated disclosure: vendor + araştırmacı + (varsa) CERT eşgüdümü.

Türkiye’de safe harbor klozu için USOM ve KVKK Kurumu rehberleri ile uyumlu bir Hukuk ekibi taslağı şart — yoksa iyi niyetli araştırmacı TCK 243-244 kapsamında risk alır.

Guvenlik triage ekibi vulnerability rapor incelemesi
Guvenlik triage ekibi vulnerability rapor incelemesi

Yaygın Hatalar

  • Yetersiz ödül → kaliteli hacker’ı çekmez.
  • Yavaş triage → hacker frustrasyonu.
  • Scope belirsiz → tartışmalı bildirim.
  • Internal team az → bildirim biriktir.
  • “Sadece reproducer’ı zor olan” yaklaşımı → araştırmacı kaçırır.
  • “Duplicate” damgasını çok agresif kullanmak — hacker bir daha aynı programa raporu getirmez.

İş Etkisi (Üretim Verisi)

  • Bug bounty olmayan şirketlerde public CVE oranı 3x daha yüksek.
  • Critical vuln yakalama süresi: aylar yerine günler.
  • Public ifşa riski %75 azalır.
  • Kuruma yatırım: yıllık 100-500K USD bütçe, korunan ortalama zarar 5-20M USD.

Türkiye Özelinde

  • USOM (Ulusal Siber Olaylara Müdahale Merkezi) kayıt zorunluluğu.
  • BDDK ve KVKK ödül programları için spesifik onay aramıyor (private safe harbor sözleşme yeter).
  • Türk hacker topluluğu: BugMENA, Turkish HackerOne participants.
  • Ödeme yöntemi: kripto / SWIFT / yerel banka (vergi açıklama).
  • Bankacılık ve fintech programları BDDK Bilgi Sistemleri Yönetmeliği kapsamında, sızma testi raporu ile birlikte yıllık denetime alınıyor.

Program Olgunluğu Yol Haritası

Sıfırdan olgun bir bug bounty programına geçiş tipik olarak 12-18 ayda 4 fazda yürür:

  1. Faz 0 — Hazırlık (2-3 ay): Internal pen-test, kritik açıkların kapatılması, security.txt yayınlama, Hukuk safe harbor metni.
  2. Faz 1 — Private VDP (3-6 ay): Ödülsüz, davet bazlı 15-30 hacker. Triage süreci stres testinden geçer.
  3. Faz 2 — Private Bounty (6-12 ay): Davetli liste 50-100’e çıkar, ödül tarifesi devreye girer.
  4. Faz 3 — Public (12+ ay): Programı public açma. Trafik anında 5-10x artar, ekip hazırlığı kritik.

Bu yol haritası threat modeling rehberimizdeki tasarım fazı bulgularıyla beslendiğinde maksimum verim alıyor — bug bounty pen-test’i ve threat modeling’i tamamlayan üçüncü katman.

Sık Sorulan Sorular

Program açmadan önce ne hazır olmalı?

Internal penetration testlerden geçmiş olmalı (low-hanging fruit yok). Triage kapasitesi (en az 1 FTE). Bug tracker, security policy yayında. Hukuk ekibinin onayı.

VDP mi yoksa bounty mi başlamalı?

Olgun olmayanlar VDP ile başlasın (ödülsüz, sadece raporlama). 6-12 ay sonra bounty’e geçiş — kaliteli raporu artırır.

Programı public mi private mi yapayım?

Private ile başla (en güvenilir hacker’lar), 6 ay sonra public’e aç. Public anında çok rapor + gürültü getirir; ekip hazır olmalı.

Düşük ödül kötü hacker mı çeker?

Tam tersi — düşük ödül programlarına kalite düşer ama spam artar. Ya iyi ödül ver ya da VDP yap.

Türkiye’den ödeme nasıl yapılır?

HackerOne/Bugcrowd Türk araştırmacılara PayPal, banka havalesi, kripto opsiyonu sunuyor. Yerli program açıyorsanız e-fatura + serbest meslek makbuzu ile ödeme yapılabilir; vergi danışmanına 193 sayılı GVK madde 18 (telif kazancı) bağlamında danışmanız önerilir.

Ömer Önal’dan pratik not: Türkiye’de bug bounty kurulumlarına danışmanlık verdiğim fintech ve e-ticaret şirketlerinde en sık karşılaştığım hata, programı açmadan önce internal pen-test’i atlamak. Public açıldığında ilk 48 saat içinde aynı SQL injection 30 farklı hacker tarafından raporlanır — bu hem triage ekibini boğar, hem de “duplicate” kararlarını agresifleştirerek itibar yakar. Doğru hazırlık: önce internal pen-test → düşük asılı meyve temizliği, sonra private VDP 3-6 ay, ardından private bounty, en son public. Diğer kritik nokta: triage ilk yanıt SLA’sı 48 saati geçerse hacker bir daha aynı programa rapor getirmez, kişisel blogunda 0-day yayınlar — yıllık 100K USD ödül havuzuna sahip program “yetersiz triage” yüzünden batar. Sizin organizasyonunuzda şu an “security.txt” var mı, dış araştırmacı raporu için tek bir email adresi tanımlı mı?

Sonuç

Bug bounty programları, sistematik tarama araçlarının yakalayamadığı iş mantığı vulnerability’lerini ortaya çıkarır. Doğru tasarlanmış bir program (HackerOne/Bugcrowd + clear scope + competitive bounty + hızlı triage) yıllık 100-500K USD yatırımla 5-20M USD potansiyel zarar önler, public ifşa riskini %75 azaltır. 2026’da güvenlik olgunluk seviyesi yüksek kurumlar için artık standart. Programı threat modeling, OWASP Top 10, DevSecOps shift-left ile birlikte tasarlayın. İletişim formundan projeniz için bug bounty program kurulum danışmanlığı talep edebilirsiniz.

Dış otorite kaynaklar: HackerOne · Bugcrowd · disclose.io (safe harbor templates) · USOM

Ömer ÖNAL

Yazılım Mimarı | Yapay Zeka LLC. Ölçeklenebilir SaaS, .NET Core altyapıları ve Otonom AI süreçleri inşa ediyorum. Kod değil, sistem tasarlarım.

İlgili Yazılar

Developer Onboarding 2026: İlk 90 Gün Süreç Tasarımı
Strateji & Danışmanlık
Ömer ÖNAL
Developer Onboarding 2026: İlk 90 Gün Süreç Tasarımı
Yapılandırılmış developer onboarding, 2026’da productivity’ye etkisi en yüksek...
Fraksiyonel CTO ve Part-Time Tech Lead: 2026 Modeli Detaylı Rehber
Strateji & Danışmanlık
Ömer ÖNAL
Fraksiyonel CTO ve Part-Time Tech Lead: 2026 Modeli Detaylı Rehber
Fraksiyonel CTO pazarı 2026’da global ölçekte %73 büyüyerek...

Yorum (1)

  1. Ömer ÖNAL
    Mayıs 17, 2026
    Yanıtla

    Türkiye’de bug bounty programı kurulumuna danışmanlık verdiğim fintech ve e-ticaret şirketlerinde en sık karşılaştığım hata, programı açmadan önce internal pen-test’i atlamak ve “duplicate” damgasını agresif kullanmak. İlk 48 saatte aynı SQL injection 30 farklı hacker tarafından raporlanırsa triage boğulur, hacker’lar programa bir daha rapor getirmez. Doğru hazırlık matematiği: 2-3 ay internal pen-test → low-hanging fruit temizliği → 3-6 ay private VDP → private bounty → en son public. Triage ilk yanıt SLA’sı 48 saati geçerse program ölmüş demek; iyi araştırmacı kişisel blogunda 0-day yayınlamaya gider. Türkiye özelinde safe harbor klozu için Hukuk ekibi taslağı şart, USOM ve KVKK rehberleri ile uyumlu olmalı — yoksa iyi niyetli araştırmacı TCK 243-244 kapsamında risk alır. Sizin organizasyonunuzda security.txt veya security@ adresi tanımlı mı, dış araştırmacıya 24-48 saat içinde dönüş yapacak bir triage kapasiteniz var mı?

Yorum Yap

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir