SLSA Çerçevesi ve Level 4’ün Anlamı 2026

Software bill of materials, imza ve attestation alanlarında yıllarca süren çalışmalar 2026 yılında SLSA çerçevesi etrafında konsolide oldu. SLSA (Supply-chain Levels for Software Artifacts), Google’ın 2021’de Open Source Security Foundation çatısı altında başlattığı ve dört seviye olgunluk içeren bir yazılım tedarik zinciri güvenlik standardı. Seviyeler artarken hermetic build, isolated build, reproducible build ve two-person review gibi gereksinimler aktif hale geliyor. Level 4 SLSA’nın en yüksek olgunluk seviyesi olup tüm üretim ortamlarında “build kaynağı tam doğrulanabilir, build süreci tamamen izole ve manipule edilemez” garantisini sağlıyor. Bu yazı, 2026 itibariyle olgunlaşan SLSA Level 4 implementasyon pratiğini, hermetic build mimarisini, build provenance attestation oluşturma sürecini ve kurumsal devreye alma yol haritasını ele alıyor. Konuyla ilişkili olarak Modern Build Sistemleri: Bazel vs Buck2 vs Pants Karşılaştırması rehberimiz detaylı incelemeyi içerir. Konuyla ilişkili olarak Nix ve NixOS ile Reprodüsible Build: DevOps Yeni Standart rehberimiz detaylı incelemeyi içerir.

SLSA Çerçevesi ve Level 4’ün Anlamı 2026

SLSA Level 1’de basit provenance üretimi, Level 2’de versiyon kontrollü build sistemi ve oturum açma, Level 3’te imzalı provenance ve isolated build, Level 4’te ise hermetic build ve two-party review gerekiyor. Sonatype State of Software Supply Chain 2024 raporu, açık kaynak projelerin yüzde 88’inin hala SLSA Level 1 veya altında olduğunu gösteriyor; Level 4’e ulaşan proje sayısı 2026 itibariyle dünya çapında 184 civarında. Bu sayı küçük gibi görünse de hepsi kritik altyapı bileşenleri (Kubernetes, Linux çekirdek modülleri, OpenSSL, Sigstore). Üretim kurumsal yazılım geliştirme süreçlerinde Level 3’e ulaşmak 2026’nın realist hedefi, Level 4 ise yol haritasının en yüksek noktası.

SLSA Level 4’ün ana farkı hermetic build kavramı. Hermetic build, build sürecinin dış dünya ile hiçbir iletişimi olmaması ve sadece önceden deklare edilmiş bağımlılıkları kullanması anlamına geliyor. Bu yaklaşım, build sırasında saldırganın “henüz fark edilmemiş bir paket güncellemesi” ile kod enjekte etmesini fiziksel olarak imkansız hale getiriyor.

Hermetic Build Mimarisi 2026

Hermetic build inşa etmenin üç temel ilkesi var: (1) Build hostu izole, internet erişimi kontrollü; (2) Tüm bağımlılıklar önceden lock dosyalarında belirlenmiş; (3) Build çıktısı reproducible, yani aynı kaynak girdisi her zaman aynı binary çıktıyı üretiyor. Bu üç ilkeyi destekleyen modern araçlar 2026’da olgunlaştı: Bazel, Nix, Pants, Earthly, Tekton Chains ve GitHub Actions reusable workflows. Snyk State of Open Source 2024 raporuna göre hermetic build kullanan projelerde tedarik zinciri saldırılarına maruz kalma riski yüzde 74 daha düşük.

SLSA Level 1-4 Karşılaştırma Tablosu

Build Provenance Attestation Yapısı

SLSA Level 4’ün en kritik çıktısı build provenance attestation. Bu, build sürecinin tam meta verisini içeren imzalı bir JSON dokümanı. Provenance şu temel alanları kapsıyor: kaynak repository URL ve commit SHA, build sistemi ve sürümü, build süreci giriş bağımlılıkları, build çıktı imza ve hash, build zamanı, builder kimlik bilgisi, hermetic flag (true/false) ve reproducibility belgesi. Bu attestation 2026 itibariyle in-toto framework formatında veya SLSA Provenance v1.0 formatında oluşturuluyor ve Cosign ile imzalanıyor. Verizon DBIR 2024 raporu, tedarik zinciri ihlallerinin yüzde 62’sinin “build sırasında değiştirilmiş binary” kategorisinde olduğunu söylüyor; tam provenance ile bu vektör tamamen kapatılıyor.

• Provenance formatı: SLSA Provenance v1.0 (önerilen) veya in-toto attestation
• İmzalama: Cosign keyless veya HSM tabanlı uzun ömürlü anahtar
• Saklama: OCI registry içinde artefact olarak veya merkezi attestation servisi
• Doğrulama: Tekton Chains, Witness, Kyverno, OPA Gatekeeper ile policy enforcement
• 2026 yenilikleri: VEX (Vulnerability Exploitability eXchange) attestation desteği eklendi

“SLSA Level 4 ‘gerçek hermetic build’ demektir. Bunu başarmak için organizasyonun build altyapısını sıfırdan yeniden tasarlamak gerekir. Ancak başarıldığında, tedarik zinciri saldırılarına karşı endüstrinin en yüksek kriptografik garantisini sunar.” — Google Open Source Security Yıllık Raporu 2025

Üretim Implementasyon Yaklaşımları

SLSA Level 4’e ulaşmanın 2026’da üç temel yaklaşımı var. Birinci yaklaşım Bazel tabanlı build: Bazel hermetic build için tasarlandığından doğal olarak Level 4’e en yakın araç. Google, Uber, Stripe gibi şirketlerde standart. İkinci yaklaşım Nix tabanlı build: Nix’in deterministic ve reproducible doğası Level 4 gereksinimlerini doğal karşılıyor; NixOS topluluğu bu yaklaşımı yıllardır kullanıyor. Üçüncü yaklaşım GitHub Actions reusable workflows + Tekton Chains: kurumsal CI/CD üzerinde modüler şekilde Level 4’e yaklaşan modern bir alternatif. IBM Cost of Data Breach 2024 raporuna göre üretim hermetic build kullanımı, ortalama ihlal maliyetini 1.83 milyon USD azaltıyor.

Üretim Mimari Karar Çerçevesi 2026

Üretim Üretim Üretim Üretim Yol Haritası

1. Hafta 1-2: Mevcut build sistemi envanteri ve SLSA olgunluk seviyesi değerlendirmesi
2. Hafta 3-8: Level 2 hedefi — hosted build sistemine geçiş, kaynak imzalama eklenmesi
3. Hafta 9-16: Level 3 hedefi — Cosign provenance üretimi ve imzalama akışı kurulumu
4. Hafta 17-32: Hermetic build pilot pojeleri — Bazel veya Nix ile küçük servisler
5. Hafta 33-48: Reproducibility doğrulama — bir build’i farklı ortamlarda yeniden üretebilme
6. Hafta 49-60: Two-party review süreç tanımı ve approval gating
7. Hafta 61-72: Tam Level 4 audit ve dış güvenlik danışmanı sertifikasyonu
8. Sonrası: Sürekli iyileştirme, VEX entegrasyonu ve kuantum sonrası kriptografi hazırlığı

2026 Üretim Performans Etkisi

Hermetic build’in üretim CI/CD performansına etkisi göz ardı edilemez. Standart bir Java microservice’in Maven build süresi 3 dakikadan, Bazel hermetic build ile 4-5 dakikaya çıkıyor (yüzde 33-67 artış). Ancak bu yavaşlamayı dengeleyen unsurlar var: Bazel’in incremental ve distributed build özellikleri sayesinde ikinci ve sonraki build’lerde süre yüzde 70-90 azalıyor. Kurumsal pratikte hermetic build, ilk yatırım maliyetinin ardından uzun vadede daha hızlı CI ekosistemi sunuyor.

VEX ve Vulnerability Attestation 2026

SLSA 1.0’a 2025’te eklenen önemli yenilik VEX (Vulnerability Exploitability eXchange). VEX, bir konteyner imajındaki CVE’lerin gerçekten exploit edilebilir olup olmadığını yapılandırılmış formatta belgeliyor. Üretim güvenlik ekipleri, ham CVE listelerinden değil VEX dokümanlarından yararlanarak gerçek risk önceliklendirmesi yapabiliyor. Snyk Open Source 2024 raporu, VEX kullanan organizasyonlarda CVE-temelli alarm yorgunluğunun yüzde 71 azaldığını gösteriyor.

Kurumsal SLSA Level 4 Dönüşümünde Tipik Sorunlar

Üretim SLSA Level 4 devreye alımlarında yaşanan üç temel zorluk şu şekildedir. Birincisi build sistemi değişimi: mevcut Maven, Gradle, npm veya Pip tabanlı build sistemlerini Bazel veya Nix’e taşımak büyük bir mühendislik yatırımıdır; bu süreç ortalama 6-12 ay sürer ve geliştirici eğitimi gerektirir. İkincisi reproducibility zorluğu: timestamp, file ordering, paralel build sırası gibi non-determinism kaynakları Level 4 sertifikasyonu için tek tek bulunup düzeltilmelidir; bu yüzlerce küçük teknik düzeltme demektir. Üçüncüsü iki kişilik review süreci: kritik kod değişikliklerinin iki bağımsız mühendis tarafından onaylanması organizasyonel disiplin gerektirir ve pull request akışını yavaşlatır; bu kültürel değişimin yerleşmesi 3-6 ay sürer.

Sonuç ve Ömer ÖNAL Danışmanlık Notu

SLSA Level 4 2026’da yazılım tedarik zinciri güvenliğinin en yüksek olgunluk seviyesi. Hermetic build, imzalı provenance, reproducibility ve two-party review birleşimi, organizasyonun build sürecini saldırı yüzeyinden çıkarıyor. Bu hedefe ulaşmak büyük bir yatırım gerektiriyor ama getiriler de orantılı: tedarik zinciri saldırı maruziyetinde yüzde 74 azalma ve ortalama 1.83 milyon USD ihlal maliyeti tasarrufu.

Ömer ÖNAL olarak müşterilerime önerim: önce Level 3’e ulaşın, sonra Level 4 hedefini kritik servislerle sınırlandırın. Tüm organizasyon için Level 4 çoğu durumda gereksiz maliyet yaratır; ancak ödeme servisi, kimlik doğrulama veya sağlık verisi işleyen kritik bileşenler için zorunlu bir yatırımdır. Bazel ve Nix’in olgun ekosistemleri 2026’da bu geçişi mümkün kılıyor; ekibinizin teknik beceri yapısına göre doğru aracı seçin. SLSA Level 4, modern kurumsal güvenlik mühendisliğinin altın standardıdır.

Sıkça Sorulan Sorular

1. SLSA Level 4 zorunlu bir standart mı?
Hayır, SLSA gönüllü bir çerçevedir. Ancak NIST SSDF (Secure Software Development Framework), CISA Secure by Design ve EU Cyber Resilience Act (CRA) gibi düzenleyici çerçeveler SLSA seviyelerini referans alıyor. 2027 sonrası kritik altyapı sektörlerinde zorunlu hale gelmesi bekleniyor.

2. Bazel ve Nix arasında hangisi SLSA Level 4 için daha iyi?
İkisi de Level 4 için kullanılabilir. Bazel polyglot mikroservis mimarileri ve Google standart pratikleri için optimize, Nix ise system-level reproducibility ve NixOS topluluğu için tasarlandı. Polyglot ekipler Bazel’i, system-level kontrole ihtiyacı olan ekipler Nix’i tercih eder.

3. SLSA Level 4 ne kadar zaman alır?
Ortalama 12-24 ay sürer. İlk altı ay Level 3’e ulaşma ve hermetic build pilot’ları, sonraki 6-12 ay ise tam organizasyon ölçeğine yayma sürecidir. Two-party review kültürel değişimi en yavaş ilerleyen kısımdır.

4. SLSA Level 4 sertifikasyonu kim yapar?
Şu an itibariyle resmi bir SLSA sertifikasyon kuruluşu yoktur. Organizasyonlar bağımsız güvenlik denetçileri (ör. NCC Group, Bishop Fox, Trail of Bits) ile audit gerçekleştirip self-attestation üretir. ISO27001 veya SOC2 raporlarına SLSA Level 4 referansı eklemek standart pratiktir.

5. Hermetic build performans yavaşlamasını nasıl yönetirim?
İncremental build, distributed build (Bazel Remote Execution, BuildBuddy) ve content-addressable storage (CAS) kullanarak ilk build’in yavaşlamasını telafi edin. İkinci ve sonraki build’lerde hız genellikle Maven/Gradle’dan üstün hale gelir.