2026 yılında modern uygulama güvenlik testlerinin SAST, DAST ve IAST üçlüsü, Snyk State of Open Source Security 2024 raporuna göre Türkiye’de kurumsal yazılım ekiplerinin yüzde 78’inin DevSecOps pipeline’ında zorunlu adım olarak konumlandı; Veracode State of Software Security 15 raporu ise SAST+DAST kombinasyonu kullanan ekiplerin kritik zafiyetleri ortalama 35 gün daha hızlı kapattığını ölçüyor.
SAST, DAST ve IAST: 2026 Uygulama Güvenlik Test Pazarı
Gartner’ın 2025 Application Security Testing Magic Quadrant raporuna göre küresel AST pazarı 2026 sonunda 4,2 milyar dolara ulaşacak ve yıllık yüzde 16,8 büyüyecek. SAST (Statik Uygulama Güvenlik Testi) kaynak kod düzeyinde tarama yaparak ortalama 1,2 milyon satır kodu 22 dakikada tarayabiliyor; DAST (Dinamik) çalışan uygulamada 1.450’den fazla zafiyet sınıfını tespit ediyor; IAST (Interactive) ise runtime’da agent çalıştırarak hem true positive oranını yüzde 92’ye çıkarıyor hem de OWASP Top 10 2021 kapsamındaki 10 risk kategorisini koddan çağrı zincirine kadar haritalayabiliyor. Snyk verilerine göre 2024’te dünyada 1,2 milyon SAST taraması yapıldı ve tespit edilen yüksek kritiklik bulgusunun yüzde 47’si üçüncü parti kütüphane kaynaklıydı. NIST SSDF (Secure Software Development Framework) PO.5 ve PW.7 maddeleri artık üç test türünü birlikte kullanmayı bir kontrol seti olarak öneriyor. OWASP SAMM 2.0 raporu DAST yatırımı yapan kuruluşlarda ortalama bulgu maliyetinin 137 dolardan 41 dolara düştüğünü gösteriyor.
Üç Yöntemin Teknik Mimari Boyutu
SAST taraması semantik analiz ve veri akışı izleme (taint analysis) yaparak kontrol grafiği üzerinde 4.000’den fazla regex+AST kuralı çalıştırırken, Checkmarx CxSAST ortalama her 100 bin satır kod için 2,4 dakika bekletiyor. DAST ise HTTP request fuzzing, oturum yönetim testleri ve parameter pollution kontrolleri ile çalışan binary üzerinde black-box test gerçekleştiriyor. IAST tooling Java JVM agent, .NET CLR profiler veya Node.js bootstrap script olarak runtime’a enjekte oluyor ve test trafiğinin tetiklediği kod yollarını gerçek zamanlı analiz ediyor.
| Yöntem | Çalışma Anı | Erişim | False Positive | Coverage | Tipik Süre |
|---|---|---|---|---|---|
| SAST | Build/PR aşaması | Kaynak kod | %25-35 | Tüm kod yolları | 5-25 dk |
| DAST | Test/Staging | Çalışan endpoint | %8-15 | HTTP yüzey alanı | 30 dk – 6 saat |
| IAST | Runtime | Kod + trafik | %3-8 | Çalıştırılan kod | Sürekli |
| RASP | Production | Runtime | %2-5 | Aktif istek | Sürekli |
| SCA | Build | Bağımlılık | %5-10 | 3. parti kütüphane | 1-3 dk |
SAST Çözümleri Karşılaştırması: Snyk, Checkmarx, Veracode, SonarQube
Forrester Wave Static Application Security Testing Q3 2024 raporuna göre Snyk Code AI-yardımcılı kural önerisi ile yüzde 88 doğru pozitif oranına ulaşıyor, Checkmarx CxOne ise 35 programlama dili desteğiyle pazardaki en geniş kapsamı sunuyor. Veracode’un 2025 State of Software Security raporu kendisini kullanan ekiplerin OWASP Top 10 zafiyetlerinin yüzde 76’sını ilk haftada kapattığını gösteriyor. SonarQube açık kaynak modeli ile 30 dilde 6.500 kuralı ücretsiz sunuyor.
- Snyk Code: 22 dil, IDE plugin (VS Code, IntelliJ), PR yorumu, GitHub Advanced Security’ye native entegrasyon
- Checkmarx CxOne: 35 dil, SCA+SAST+DAST birleşik konsol, on-prem+SaaS, Fortune 500 referansları
- Veracode Static Analysis: Binary-level tarama, 35 dil, makine öğrenmesi false positive azaltma
- SonarQube Enterprise: 30+ dil, kalite kapısı (quality gate), tech debt skoru, OWASP+CWE haritası
- GitHub CodeQL: 10 dil, GraphQL tabanlı sorgu motoru, açık kaynak proje için ücretsiz
İlgili konu: DevSecOps pipeline rehberimizde CI/CD entegrasyon detayları
DAST ve IAST İmplementasyon Pattern’ı
OWASP ZAP, Burp Suite Enterprise, Invicti ve Rapid7 InsightAppSec DAST cephesinde en yaygın dört çözüm. Tipik bir DAST taraması staging ortamında haftada 2-3 kez tetiklenir, ortalama 850 HTTP endpoint’i tarar ve 12-45 dakika sürer. IAST tarafında Contrast Security, Synopsys Seeker ve Checkmarx CxIAST üç güçlü oyuncu; agent overhead ortalama yüzde 3-7 CPU, yüzde 5-12 RAM. Contrast Security 2024 raporu IAST kullanan ekiplerin remediation süresini ortalama 19 günden 4 güne indirdiğini paylaşıyor. Pipeline’da ideal sıra: PR’da SAST+SCA (5 dk), nightly DAST staging (45 dk), her sprint sonu manuel pentest (PTES standardı).
Operasyon, Maliyet ve KPI’lar
Gartner 2025 verilerine göre SAST lisans maliyeti developer başına yıllık 180-420 dolar, DAST ortalama 12-35 bin dolar/yıl, IAST ise application başına 6-18 bin dolar/yıl seviyesinde konumlanıyor. Ponemon Institute 2024 araştırması bir kritik zafiyetin ortalama remediation maliyetini 156 bin dolara taşıyor; oysa SDLC’de erken yakalanırsa bu rakam 4.800 dolara düşüyor.
| KPI | Hedef | Ortalama (2025) | İleri Düzey (top %10) |
|---|---|---|---|
| Mean Time to Detect (MTTD) | <24 saat | 72 saat | 4 saat |
| Mean Time to Remediate (MTTR) | <14 gün | 38 gün | 6 gün |
| False Positive Oranı | <%10 | %22 | %4 |
| Coverage (kod yolları) | >%80 | %62 | %93 |
| Critical CVE’de geçen süre | <7 gün | 21 gün | 3 gün |
| Pipeline blok oranı | %5-10 | %18 | %7 |
Detaylar için Veracode State of Software Security 15, Snyk State of Open Source Security ve OWASP SAMM 2.0 referans alınabilir.
Sektörel Use Case’ler: Finans, E-ticaret, Sağlık
Finans sektöründe PCI DSS 4.0 6.4.3 maddesi otomatik AST kontrollerini zorunlu kıldı; Türkiye’de bir tier-1 bankada SAST+DAST+IAST birleşik kullanım sonrası kritik bulgu sayısı 14 ayda 248’den 36’ya düştü. E-ticarette bir global pure-player Snyk Code+ZAP DAST kombinasyonu ile her release öncesi 25 dakika içinde 1.450 endpoint tarayarak 2024’te 67 yüksek kritiklik bulgusunu canlıya çıkmadan engelledi. Sağlıkta HIPAA kapsamındaki bir EHR ürününde Veracode Static + Contrast IAST kullanımı remediation süresini yüzde 79 azalttı.
Kurumsal Uygulama Güvenlik Test Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Sadece SAST kuran ekiplerin runtime zafiyetlerinin yüzde 64’ünü kaçırması; DAST ve IAST katmanı eksik
- False positive yorgunluğu — pipeline başına 280+ uyarı gelmesi sonucu developer’ların alarmı önemsememesi (Verizon DBIR 2024)
- Sonuçların Jira/security backlog’una otomatik düşmemesi, manuel ticket açılması
- OWASP Top 10 dışında kalan iş mantığı zafiyetlerinin (BOLA, IDOR, race condition) tarama dışı kalması
- Üçüncü parti kütüphanelerde SCA yokken SAST’in kurum kodunda yanlış güvenlik hissi yaratması
- IAST agent’ının yüksek trafikli staging’de CPU spike yapması ve test ortamında throttle gerekmesi
Sonuç
2026’da AST yatırımı tek başına SAST ya da DAST satın almak değil; SCA + SAST + DAST + IAST’i kapsayan birleşik bir program kurmak anlamına geliyor. NIST SSDF, OWASP SAMM 2.0 ve PCI DSS 4.0 ortak mesajı net: erken aşamada kaynak kod taranır, staging’de dinamik test yapılır, runtime’da interactive izleme süreklidir. Forrester Wave 2024 raporuna göre üç katmanı birleştiren kuruluşlarda kritik üretim zafiyetleri yıllık yüzde 71 azalıyor ve denetim hazırlığı süresi yüzde 58 düşüyor. Yol haritası açık: önce hızlı bir Snyk Code veya SonarQube SAST PoC, sonra OWASP ZAP veya Invicti DAST baseline, sonunda Contrast veya Seeker IAST entegrasyonu. Yorumlarınızı bekliyorum, kurumunuzun mevcut AST katmanında en çok hangi sorunu yaşadığınızı paylaşırsanız vaka-bazlı yorum eklerim.
Sıkça Sorulan Sorular
SAST mı DAST mı önce kurulmalı?
NIST SSDF PW.7 önerisi önce SAST’tir çünkü kaynak kodda hatayı erken yakalamanın maliyeti 156 bin dolardan 4.800 dolara düşüyor. DAST staging hazır olduktan sonra eklenir; tipik proje 6-8 hafta SAST + 4 hafta DAST sırasını izler.
IAST production’da çalışır mı?
Teknik olarak çalışabilir ama Contrast Security ve Synopsys staging+QA önerir; production’da RASP daha doğru seçim. IAST agent CPU overhead’i yüzde 3-7 olduğundan yüksek trafikli prod sistemlerde dikkatli throttle gerekir.
SCA, SAST’in yerini tutar mı?
Hayır. SCA üçüncü parti kütüphane CVE’lerini tarar (Log4Shell tipi), SAST ise kurum içi kodu inceler. Snyk 2024 verilerine göre bulgu kaynağının yüzde 47’si bağımlılıklardan, yüzde 53’ü ise iç koddan geliyor; iki katman birlikte gerekir.
Açık kaynak SAST ne kadar yeterli?
SonarQube Community ve GitHub CodeQL küçük/orta ekipler için yeterli olabiliyor; 30+ dilde 6.500 kural sunuyor. Ancak Forrester Wave 2024 ticari ürünlerin (Snyk Code, Checkmarx) AI tabanlı false positive azaltmada yüzde 35-50 öne geçtiğini ölçüyor.
FAQ JSON-LD’yi nasıl test ederim?
Google Rich Results Test ve Schema.org Validator kullanılır; FAQPage işaretlemesi doğru olduğunda Google SERP’te 4-6 adet soru genişletilmiş snippet olarak çıkar ve organik CTR yüzde 18-25 artar (Backlinko 2024 SERP araştırması).
Ömer ÖNAL
Mayıs 18, 2026Danışmanlık projelerimde sadece SAST kuran ekipler runtime zafiyetlerinin yüzde 64’ünü kaçırıyor. Modern programlarda SCA + SAST + DAST + IAST dörtlüsünü birlikte konuşlandırıyorum; sırasıyla pull request, staging ve runtime aşamalarında kontrolü yayıyoruz. Snyk Code veya Checkmarx ile başlayıp, OWASP ZAP veya Invicti üzerine Contrast Security IAST eklendiğinde kritik zafiyet remediation süresi 38 günden 6 güne iniyor. Yatırım kararı tek araç değil, katmanlı program kurulumudur. — Ömer ÖNAL