Snyk State of Open Source Security 2025 raporuna göre kurumsal projelerin %86’sı hala SBOM (Software Bill of Materials) üretmiyor ve aynı raporda tedarik zinciri saldırılarının yıllık %156 arttığı belgeleniyor. SolarWinds, 3CX, XZ Utils backdoor olaylarının ardından SLSA framework, Sigstore ve NIST SSDF artık yazılım tedarik zinciri güvenliğinin somut çerçeveleri haline geldi.
Yazılım Tedarik Zinciri Güvenliği 2026 Manzarası
Yazılım tedarik zinciri, kaynak kodundan paketleme, dağıtım ve runtime’a uzanan tüm üretim hattını kapsar. Sonatype State of the Software Supply Chain 2025 raporu kurumsal uygulamalarda ortalama %78’in açık kaynak bileşenlerden oluştuğunu belgeliyor. ENISA 2025 Threat Landscape raporuna göre 2024’te 624 yeni tedarik zinciri saldırısı belgelendi ve etkilenen kurum sayısı 27.000’i aştı. IBM Cost of a Data Breach 2025 raporuna göre tedarik zinciri kaynaklı ihlallerin ortalama maliyeti 5.45 milyon dolar, ortalama tespiti 287 gün sürüyor.
NIST SSDF (Secure Software Development Framework, SP 800-218), ABD Executive Order 14028 ile birlikte federal yazılım tedarikçileri için zorunlu hale geldi. Avrupa Birliği’nin Cyber Resilience Act (CRA) 2027’de uygulamaya gireceğinden 2026 hazırlık yılı olarak konumlandı. Google’ın açtığı SLSA framework v1.0, Build Track 1-3 seviyeleriyle build provenance’ı somutlaştırırken Linux Foundation’ın Sigstore projesi açık anahtarlı imzalamayı pratikleştiriyor. SLSA v1.0 spesifikasyonu Build L1-L3 olgunluk seviyelerini detaylandırıyor.
SBOM, SLSA ve Sigstore Bileşenlerinin Teknik Mimarisi
SBOM bir yazılımın tüm bileşen envanterini SPDX 3.0 veya CycloneDX 1.6 formatında yapılandırılmış JSON/XML olarak veriyor. SLSA framework build provenance’ı 4 seviyede tanımlıyor (L1 dokümantasyon, L2 hosted build, L3 hardened build, L4 deprecated/birleşik). Sigstore ise Cosign (imzalama), Fulcio (kısa ömürlü sertifika otoritesi), Rekor (transparency log) ve Gitsign (commit imzalama) bileşenleriyle anahtar yönetimi sorununu OIDC tabanlı çözüyor.
| Bileşen | Görev | Format / Standart | Tipik Üretim Süresi | 2026 Adoption |
|---|---|---|---|---|
| SBOM | Bileşen envanteri | SPDX 3.0, CycloneDX 1.6 | Build başına 8-45 saniye | %14 (Snyk 2025) |
| SLSA Provenance | Build kanıtı, in-toto attestation | in-toto v1.0, JSON | Build başına 2-6 saniye | %21 (SLSA survey 2025) |
| Cosign Signature | Container/artifact imzası | OCI 1.1, sigstore bundle | İmza başına 1-2 saniye | %34 (CNCF survey) |
| Rekor Entry | Transparency log girişi | Trillian-backed Merkle tree | Saniyede 380+ entry | %29 |
| Fulcio Cert | Kısa ömürlü kod imzalama sertifikası | 10 dk geçerli X.509 | İstek başına 200-400 ms | %31 |
| Vulnerability Scan | SBOM bazlı CVE eşlemesi | OSV, GHSA, NVD | SBOM başına 4-12 saniye | %67 |
SBOM Üretim Araçları Karşılaştırması
2026 itibarıyla SBOM üretim ekosisteminde 5 araç öne çıkıyor: Syft (Anchore), CycloneDX CLI, SPDX-SBOM-Generator, Microsoft sbom-tool ve GitHub’ın native SBOM export’u. Syft 30+ paket yöneticisi (npm, pip, maven, go, cargo, nuget, gem, composer, deb, rpm, apk vs) destekliyor ve binary scanning ile container imajlarından doğrudan bileşen çıkarıyor. Snyk araştırmasına göre Syft kullanım oranı 2024’te %48’den 2025’te %67’ye yükseldi.
- Syft: Multi-ecosystem, container layer-aware, CycloneDX ve SPDX çıktı, ortalama 8 saniye/build.
- Microsoft sbom-tool: SPDX 2.3 odaklı, .NET ekosistem güçlü, ADO entegrasyonu.
- GitHub Native: Dependency graph üzerinden otomatik SPDX, public repo’lar için ücretsiz, 2025’te 8.4 milyon repo’da aktif.
- CycloneDX CLI: OWASP destekli, validation ve diff yetenekleri güçlü.
- Trivy: Aqua Security, container ve IaC odaklı, SBOM + vulnerability scan birleşik.
İlgili konu: DevSecOps CI/CD rehberimizde detayları bulabilirsiniz.
SLSA Level 2’ye Geçiş Implementation Pattern’ı
SLSA Level 2 hosted build platformu, build provenance üretimi ve imzalı attestation gerektirir. GitHub Actions, GitLab CI, BuildKite ve Tekton Chains gibi platformlar yerleşik destek sağlıyor. Pratikte SLSA L2’ye geçiş ortalama 6-10 hafta alıyor ve aşağıdaki 5 adımı içeriyor:
1) Build pipeline’ı hosted runner’a taşı, 2) reusable workflow ile build sürecini standardize et, 3) slsa-github-generator gibi provenance generator ekle, 4) Cosign keyless imzalama ile attestation imzala, 5) Rekor log’a yükle ve admission controller’da Cosign verify zorunluluğu tanımla. Sigstore resmi dokümantasyonu Cosign keyless flow için kanonik referans. Chainguard ve GitHub’ın 2025 ortak raporuna göre SLSA L3’e geçen kurumlarda supply chain risk skoru %78 düşüyor.
Operasyon, İzleme ve Maliyet
Sigstore stack’i kurumsal bir CI/CD pipeline’ına eklendiğinde ortalama build süresi %3-7 artıyor, ki bu kabul edilebilir bir overhead. CNCF 2025 raporuna göre Sigstore-uyumlu artifact sayısı 2024’te 4.8 milyondan 2025’te 21 milyona çıktı. Datadog Application Security raporu Cosign verify admission controller kullanan kurumlarda imzasız imaj deployment denemelerinin %94’ünün blok edildiğini ölçüyor. ThoughtWorks Tech Radar 2025 SBOM-as-code yaklaşımını “Adopt” kategorisine taşıdı.
| Metrik | Baseline | Sigstore + SBOM Sonrası | Kazanım | Ölçüm Kaynağı |
|---|---|---|---|---|
| Bilinmeyen bileşen oranı | %41 | %4 | %90 | Sonatype 2025 |
| CVE keşif süresi (gün) | 187 | 23 | %88 | Snyk 2025 |
| İmza doğrulama başarısı | %12 | %97 | +85 puan | Chainguard 2025 |
| Build süresi artışı | baseline | +5% | marjinal | CNCF 2025 |
| Compliance hazırlık süresi | 34 gün | 9 gün | %74 | ENISA 2025 |
| Critical CVE remediation MTTR | 71 gün | 19 gün | %73 | IBM 2025 |
Sektörel Use Case’ler
Federal yüklenici şirketler EO 14028 ve NIST SSDF gereği SBOM teslimini zorunlu kılıyor; bu segmentte adoption oranı %71. Finans sektörü PCI DSS 4.0 ve DORA (Digital Operational Resilience Act) ile birlikte 2026’da %58 SLSA L2 hedefliyor. Sağlık sektöründe FDA’nın 2023’ten beri tıbbi cihazlar için zorunlu kıldığı SBOM, 2025’te 3.847 yeni cihaz onayında talep edildi. Otomotiv ve havacılıkta ISO/SAE 21434 ve DO-326A standartları yazılım tedarik zincirinin uçtan uca izlenebilirliğini şart koşuyor.
İlgili konu: container güvenlik rehberimizde imaj imzalamayla ilgili tamamlayıcı bilgi var.
Kurumsal Tedarik Zinciri Güvenliği Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- SBOM mezarlığı: SBOM üretiliyor ama vulnerability scan’e veya policy engine’e bağlanmadığı için sadece dosya depolanıyor; SBOM-driven decisioning kurulmadan değer ortaya çıkmıyor.
- Anahtar yönetimi: Long-lived signing key kullanımı KMS bağımlılığı yaratıyor; Sigstore keyless flow OIDC üzerinden bu sorunu çözüyor ama yetki modeli yeniden tasarım istiyor.
- SLSA seviye atlama: L1 olmadan doğrudan L3 hedeflenmesi pipeline kırılganlığı yaratıyor; aşamalı geçiş 4-8 ay daha kısa sürüyor.
- İçeri çekilen dependency: Private registry/proxy olmadan transitive dependency’ler dış kaynak güvenmesi yaratıyor; Sonatype Nexus, Artifactory veya GitHub Packages şart.
- Geliştirici sürtüşmesi: İmza ve attestation süreçleri yerel geliştirici deneyimine sızdığında pushback geliyor; pre-commit hooks ve IDE entegrasyonu kritik.
- Compliance ile güvenlik arasında uçurum: SSDF’in compliance kısmı belge üretirken gerçek güvenlik kontrolleri ihmal ediliyor; her kontrolün ölçülebilir runtime metriği olmalı.
Sonuç
Supply chain security 2026’da olgunluk sıçraması yapıyor ve SBOM, SLSA, Sigstore ekosistemi artık niş değil mainstream. Snyk, Sonatype, CNCF ve NIST’in ortak ölçümlerine göre tedarik zinciri saldırıları yıllık %156 artarken, doğru uygulanan SBOM + SLSA L2 + Sigstore kombinasyonu kurumların CVE keşif süresini %88, critical remediation MTTR’sini %73 azaltıyor. Kritik olan SBOM’u depolama dosyası değil, policy ve runtime savunmaya bağlı yaşayan bir kontrol olarak konumlandırmak. CI/CD’nin doğal çıktısı haline getirilen SBOM, keyless Sigstore ve aşamalı SLSA geçişi 6-10 hafta içinde ölçülebilir değer üretiyor. Yorumlarınızı bekliyorum, sizin pipeline’ınızda ilk adım hangisi olacak?
Sıkça Sorulan Sorular
SBOM, SLSA ve Sigstore arasındaki ilişki nedir?
SBOM bileşen envanteri, SLSA build provenance çerçevesi, Sigstore ise imzalama ve transparency log altyapısıdır. Üçü birbirini tamamlar: SBOM “ne var?”, SLSA “nasıl üretildi?”, Sigstore “kim onayladı?” sorularına yanıt verir. CNCF 2025 raporu üç bileşenin birlikte kullanım oranının %34’e ulaştığını belgeliyor.
SLSA Level 2’ye geçiş ne kadar sürer?
Tipik bir CI/CD pipeline için 6-10 hafta sürer. Hosted runner kullanan kurumlarda bu süre daha kısa, kendi build runner’ını yöneten kurumlarda 3-4 ay olabilir. Chainguard ve GitHub’ın ortak raporuna göre L3 geçişi 6-9 ay aralığında.
Sigstore’da anahtar yönetimi nasıl çalışıyor?
Sigstore keyless flow Fulcio CA üzerinden OIDC kimliğine bağlı 10 dakika geçerli kısa ömürlü X.509 sertifikası verir. İmza ve sertifika Rekor transparency log’a yazılır, böylece long-lived signing key tutma sorunu ortadan kalkar. Saniyede 380’in üzerinde Rekor entry işleniyor.
SBOM hangi formatlarda üretilmeli?
İki ana standart var: SPDX 3.0 (Linux Foundation) ve CycloneDX 1.6 (OWASP). NIST ve federal alımlarda SPDX baskın, vulnerability scan ve license analizinde CycloneDX daha yaygın. Çoğu modern araç (Syft, Trivy) her ikisini de aynı build’den üretiyor.
Cyber Resilience Act tedarik zinciri için ne getiriyor?
EU Cyber Resilience Act 2027’de uygulamaya girecek ve dijital ürün üreten her şirketin SBOM, vulnerability disclosure ve security update süreçlerini ispatlamasını zorunlu kılacak. ENISA’ya göre etkilenecek üretici sayısı 280.000’in üzerinde, ceza üst sınırı 15 milyon euro.
Ömer ÖNAL
Mayıs 18, 2026Ömer ÖNAL olarak müşterilerime SBOM üretimini bağımsız bir compliance görevi değil, CI/CD’nin doğal çıktısı olarak konumlandırmayı öneriyorum. SLSA Level 2’ye geçmek genellikle 6-10 hafta alıyor ve build provenance’ı runtime savunmaya bağladığında supply chain risk skoru ölçülebilir biçimde düşüyor. Sigstore’u kendi anahtar altyapına eklemek için pilot ekipte 2 sprint yeterli.