CISA Secure by Design Pledge 2024 Mayıs’tan beri 250’den fazla yazılım üreticisi tarafından imzalandı; 2026’da bu çerçeve kurumsal yazılım tedarikinde “minimum kabul edilebilir güvenlik” tanımına dönüşüyor.
Secure by Design 2026: Çerçevenin Stratejik Bağlamı
CISA (Cybersecurity and Infrastructure Security Agency) “Secure by Design” inisiyatifini Nisan 2023’te başlattı ve Ekim 2023’te güncellenmiş whitepaper’ı yayınladı. Çerçeve üç temel prensip üzerine kuruluyor: birinci, yazılım üreticisinin güvenliği bir özellik değil bir varsayılan olarak sunması; ikinci, müşterinin yapılandırma yükünden azat edilmesi; üçüncü, üst yönetim seviyesinde sorumluluk ve şeffaflık. Mayıs 2024 RSA Conference’ta CISA “Secure by Design Pledge” başlattı ve büyük yazılım üreticilerini (Microsoft, AWS, Google Cloud, IBM, Salesforce, Cloudflare, GitHub vb.) gönüllü taahhüde davet etti.
Pledge yedi somut hedef içeriyor: yazılım üreticilerinin imzaladıktan sonra 12 ay içinde ölçülebilir ilerleme göstermesi bekleniyor. Hedefler: çok faktörlü kimlik doğrulama (MFA) varsayılan, varsayılan parolaların kaldırılması, vulnerability sınıfı azaltma (sınıf bazlı eradication), güvenlik patch’lerinin müşteri tarafında geniş kabul, bir vulnerability açıklama politikası (VDP) yayınlama, CVE’lere zamanında atfetme ve evidence-based intrusion data paylaşımı. CISA 2024 Q3 raporuna göre imzacıların yüzde 78’i MFA hedefini, yüzde 63’ü VDP hedefini tamamladı.
Pledge’in Yedi Hedef ve Kurumsal Karşılıkları
Bu hedeflerin her biri kurumsal satın alma kararına doğrudan giriyor. Federal kurumlar (CISA 25 IT/CSF SP 800-218 referansıyla) tedarikçi due diligence sürecinde pledge imzasını sorgulayabiliyor. Türk şirketleri için de AB pazarına satış yapmak veya uluslararası tedarikçilerle çalışmak söz konusuysa pledge uyumlu yazılım üretmek stratejik fark yaratıyor.
| Hedef | Tanım | Implementation Pattern | Tipik Süre | Ölçüm |
|---|---|---|---|---|
| MFA varsayılan | Yeni hesap MFA zorunlu | FIDO2, TOTP, push notif | 3-6 ay | % MFA aktif hesap |
| Varsayılan parola yok | İlk kurulumda zorunlu değişim | Setup wizard + force change | 2-4 ay | Audit log delivery |
| Vuln sınıfı azaltma | Bir sınıfı (örn XSS) eradicate | Memory-safe lang, framework | 6-12 ay | CWE-bazlı before/after |
| Patch kabul oranı | %70+ müşteri 30 gün içinde | Auto-update, mandatory upgrade | 3-6 ay | Telemetri dashboard |
| VDP yayınlama | Public vuln disclosure policy | security.txt + bug bounty | 1-2 ay | Politika URL + SLA |
| CVE atfetme | Discovery’den 90 gün içinde | CNA üyelik, CVE Numbering | 3-6 ay | CVE oranı/keşif sayısı |
| Intrusion data paylaşımı | CISA AIS partnership | STIX/TAXII feed | 2-4 ay | Paylaşılan event sayısı |
Memory Safety ve Vulnerability Sınıfı Azaltma
Pledge’in en transformatif hedefi “bir vulnerability sınıfını ortadan kaldırmak”. CISA Şubat 2024’te “The Case for Memory Safe Roadmaps” raporunu yayınladı ve C/C++ kod tabanından Rust, Go, Java, C# gibi memory-safe dillere geçişi öneriyor. Microsoft 2019 BlueHat raporu memory safety bug’larının tüm güvenlik vulnerability’lerinin yüzde 70’ini oluşturduğunu gösterdi. Chrome, Android, Windows kernel modülleri 2023-2024 boyunca Rust adopsiyonunu artırdı; Linux kernel Rust desteği 6.1’de mainline’a girdi ve 2024 boyunca olgunlaştı.
- Memory safety: Rust, Go, Java, C#, Swift gibi dillere geçiş; buffer overflow, UAF, double free eradicate
- SQL injection eradicate: Parameterized query enforcement, ORM standartlaşması, lint rule
- XSS: Modern framework (React, Vue) auto-escape, CSP zorunlu, DOMPurify gibi sanitization
- SSRF: Allowlist-based URL parsing, network egress kontrolü, metadata service korumaları
İlgili konu: Rust memory safety kurumsal migration rehberi
Secure Software Development Lifecycle (SSDLC) Pattern’ı
NIST Secure Software Development Framework (SSDF) SP 800-218 Pledge’in operasyonel bilgilerini sağlıyor. SSDF 4 grup pratik tanımlıyor: Prepare Organization (PO), Protect Software (PS), Produce Well-Secured Software (PW), Respond to Vulnerabilities (RV). Toplamda 19 practice + 42 task. Federal yazılım alımlarında OMB M-22-18 ve M-23-16 memo’ları SSDF uyumunu self-attestation ile zorunlu kılıyor. Türk kurumlar için TÜBİTAK BİLGEM ve Dijital Dönüşüm Ofisi 2024 yazılım güvenliği dokümantasyonu SSDF’ye doğrudan atıf yapıyor.
Production’da SSDLC entegrasyonu genellikle şu sırada yapılıyor: threat modeling (STRIDE veya PASTA), secure coding standards (OWASP ASVS L1-L2), SAST (Semgrep, CodeQL), SCA (Snyk, Trivy), DAST (Burp Suite Enterprise, OWASP ZAP), SBOM (CycloneDX cdxgen), SLSA Provenance (slsa-github-generator), penetration testing (yıllık), bug bounty (HackerOne, Bugcrowd). Tüm bu adımlar pledge’in dolaylı hedeflerine hizmet ediyor.
Operasyon, Maliyet ve Audit Pattern’ları
Pledge’i ciddiye almanın maliyeti orta ölçekli bir kurumsal yazılım üreticisi (200-500 mühendis) için yıllık 1-3 milyon dolar civarında: tooling (SAST/SCA lisansları, bug bounty bütçesi), eğitim, security champion programı, security engineer pozisyonları. Buna karşılık olası bir veri ihlali ortalama 4,88 milyon dolar (IBM 2024) ve müşteri kayıplarıyla birlikte 10+ milyon dolar etki yaratabiliyor. Sigorta tarafında siber sigorta primleri pledge-imzacı kurumlarda yüzde 8-15 indirim alabiliyor.
| Yatırım Kategorisi | Yıllık Maliyet | Beklenen Etki | ROI Zamanlaması |
|---|---|---|---|
| SAST + SCA lisansları | $50K-200K | Vuln tespit otomasyonu | 3-6 ay |
| Bug bounty programı | $100K-500K | Public researcher coverage | 6-12 ay |
| Security engineer (2-5 FTE) | $300K-1.2M | SSDLC + incident response | 9-18 ay |
| Memory-safe migration | $200K-2M (proje bazlı) | %70 vuln sınıfı eradication | 2-3 yıl |
| Pentest (yıllık) | $50K-300K | Compliance + audit kanıtı | Anlık (sertifikasyon) |
Sektörel Uygulamalar ve İmzacı Örnekleri
Pledge imzacıları arasında Microsoft (Azure, Microsoft 365), Google (Google Cloud), AWS, IBM, Salesforce, Cloudflare, GitHub, GitLab, HashiCorp, MongoDB, Datadog, Atlassian gibi büyük yazılım üreticileri var. Microsoft 2024 Q3 raporunda “Secure Future Initiative” altında pledge hedeflerinin durumunu detaylı paylaştı: SC-VM (sandboxed compilation) ve memory safety istatistikleri öne çıkıyor. CISA Secure by Design portalı imzacı listesi, whitepaper güncel sürümü ve case study’leri barındırıyor. Pledge resmi sayfası taahhüt detaylarını paylaşıyor.
Kurumsal Secure by Design Adopsiyonunda Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Liderlik desteği eksik: Pledge CEO/CTO imza gerektiren bir taahhüt; orta seviye yöneticilik düzeyinde başlatılan girişimler tıkanıyor
- Memory-safe migration paralizi: Mevcut C/C++ kod tabanı için her şeyi Rust’a çevirme planı pratik değil; “new code in Rust + critical paths first” daha gerçekçi
- Telemetri yokluğu: Patch kabul oranı, MFA aktivasyonu, varsayılan ayarlar gibi metrikleri kuruma raporlayacak dashboard yok
- VDP politikasının sürdürülmesi: Politika yayınlanıyor ama gelen raporlara SLA’sız cevap veriliyor; CSIRT olgunluğu eksik
- CNA üyelik süreci: MITRE CNA üyelik başvurusu 3-6 ay alıyor; süreç başlatılmıyor
- Müşteri patch direnişi: Otomatik update zorlanırken bazı enterprise müşteriler değişiklik kontrolü istiyor; ne zaman zorlanacağı politika gerektiriyor
Sonuç
CISA Secure by Design Pledge, 2026’da yazılım üreticileri için “kabul edilebilir minimum güvenlik” çerçevesinin de facto standardı. İmzalama gönüllü olsa da büyük müşteriler (federal, finans, sağlık) tedarikçi due diligence’ında bu çerçeveyi sorguluyor. Pratik yol haritası: birinci, CEO/CTO seviyesinde pledge imzası alınmalı ve 12 aylık hedef planı yayınlanmalı. İkinci, MFA varsayılan, VDP politikası ve CNA üyelik üç hızlı kazanım olarak ilk 6 ayda tamamlanmalı. Üçüncü, memory safety roadmap çıkarılmalı (yeni kod Rust/Go, kritik C++ modülleri öncelikli). Dördüncü, müşteri patch kabul oranı için telemetri dashboard kurulmalı. 12-18 aylık bir transformasyonla kurum hem regülatif baskılara (EU CRA, NIS2, DORA) uyumlu kalıyor hem de stratejik müşteri ilişkilerinde fark yaratıyor. Secure by Design artık opsiyonel bir tercih değil, kurumsal yazılım üreticisi olmanın temel kabul kriteri.
Sıkça Sorulan Sorular
CISA Secure by Design Pledge’i imzalamak hangi yükümlülük getiriyor?
Yedi hedef için 12 ay içinde ölçülebilir ilerleme göstermek: MFA varsayılan, varsayılan parola eradication, vulnerability sınıfı azaltma, patch kabul, VDP yayınlama, CVE atfetme, intrusion data paylaşımı. Hukuki bağlayıcılığı yok ama public commitment niteliğinde.
Memory safety hedefi için Rust mı Go mu seçilmeli?
Sistem yazılımı, kernel modülü, performans-kritik servisler için Rust en güçlü seçenek. Network servisleri, CLI tool, mikroservis backend için Go daha pragmatik. Mevcut Java/C# ekosisteminizde kalmak ve “yeni kod memory-safe” prensibini uygulamak da kabul edilebilir bir yol.
VDP (Vulnerability Disclosure Policy) nasıl yazılmalı?
security.txt RFC 9116 ile başlayın, bug bounty programı (HackerOne, Bugcrowd, Intigriti) veya self-hosted submission portalı ekleyin, SLA tanımlayın (triage 5 iş günü, fix kritik 30 gün), researcher safe harbor maddesi koyun, public hall of fame oluşturun.
Federal alımlarda SSDF uyumu nasıl kanıtlanır?
OMB M-22-18 / M-23-16 self-attestation formu (CISA portal üzerinden) yeterli. CISA repository’sindeki SSDF Practices uyumunu açıklayan bir Common Form’u CEO veya security executive imzalıyor. Yanlış beyan ABD federal yasaları (False Claims Act) kapsamında.
Türk yazılım üreticileri pledge’i imzalamak zorunda mı?
Hukuken zorunlu değil, ama AB pazarına satış yapan, federal müşteri arayan veya kurumsal müşteri ilişkisi gelişmek isteyen Türk üreticiler için stratejik tercih. EU CRA 2027 yürürlüğü öncesinde benzer kontrolleri kurmuş olmak kompliance hızını ciddi şekilde artırıyor.
Ömer Önal
Mayıs 23, 2026CISA Secure by Design 2026’da kurumsal yazılım üretici olmanın temel kabul kriteri. Pledge gönüllü olsa da büyük müşteriler tedarikçi due diligence’ında bu çerçeveyi sorguluyor. Türk üreticiler için AB pazarına satış yapan veya kurumsal müşteri ilişkisi gelişmek isteyenler için stratejik tercih. CEO/CTO seviyesinde imza, 12 aylık hedef planı ve memory safety roadmap ile başlamak en pragmatik yol.