# Güvenlik, forgehouse

> Açıkları biri bulmadan önce kapat. Giriş ve erişim desenleri, gizli anahtar yönetimi, tehdit haritası ve her yayından önce uyguladığımız sıkılaştırma listeleri.

Buradaki sıra bilinçli: önce kapılar, sonra alarmlar. İlk iş giriş ve erişim kontrolü; ardından tehdit haritası ve her sürümde çalıştırdığınız sıkılaştırma listeleri gelir. Bunlar bir kez okunup rafa kalkacak yazılar değil, uygulanmak için yazılmış kontrol listeleri.

## Kim için
- Giriş sistemi yayınlayan ama açıkların nerede olduğundan emin olamayan geliştirici
- Uyumluluk PDF’i değil, gerçek bir tehdit değerlendirmesi isteyen kurucu
- Denetimden önce sunucu ve altyapıyı sıkılaştıran mühendis

## Nereden başla
Burada kit yok; kapıdan başlayın. Giriş sisteminiz canlıdaysa Auth Implementation Patterns ile başlayın, sonra Attack Tree Construction ile nerede açık verdiğinizi haritalayın.

## Beceriler (22)
- [Anti Reversing Techniques](https://forgehouse.ai/tr/skiller/anti-reversing-techniques/), Yetkili yazılım analizi sırasında karşılaşılan anti-reversing, obfuscation ve koruma tekniklerini anlamak için yapılandırılmış bir başvuru kaynağı.
- [Attack Tree Construction](https://forgehouse.ai/tr/skiller/attack-tree-construction/), Bir saldırganın hedefe nasıl ulaştığını modelleyip bu haritayı savunma önceliklerine çeviren sistematik bir yöntem ve Python araç seti.
- [Auth Implementation Patterns](https://forgehouse.ai/tr/skiller/auth-implementation-patterns/), Sahada test edilmiş kimlik doğrulama ve yetkilendirme desenlerinin eksiksiz bir referansı: yenileme tokenlı JWT, Redis tabanlı oturumlar, OAuth2 sosyal giriş ve katmanlı RBAC.
- [Better Auth Best Practices](https://forgehouse.ai/tr/skiller/better-auth-best-practices/), Better Auth.
- [Binary Analysis Patterns](https://forgehouse.ai/tr/skiller/binary-analysis-patterns/), Derlenmiş ikili dosyaları analiz etmek için desen kataloğu: x86-64, ARM64 ve ARM32 mimarilerinde sökme, dekompilasyon, kontrol akışı analizi ve kod deseni tanıma.
- [Brain Snyk Trivy CI](https://forgehouse.ai/tr/skiller/brain-snyk-trivy-ci/), Bağımlılık taraması için Snyk'i; konteyner, altyapı kodu ve dosya sistemi taraması için Trivy'yi bir araya getiren, ikisi de GitHub Actions'a bağlı ve sonuçları SARIF biçiminde Güvenlik sekmesine yükleyen, dağıtıma hazır bir CI güvenlik kurulumu.
- [Create Auth Skill](https://forgehouse.ai/tr/skiller/create-auth-skill/), Better Auth altyapısı üzerine kurulu, TypeScript ve JavaScript uygulamaları için rehberli bir kimlik doğrulama uygulama seti.
- [GDPR Data Handling](https://forgehouse.ai/tr/skiller/gdpr-data-handling/), Tasarımda gizlilik, veri minimizasyonu ve eksiksiz bir veri sahibi hakları akışı üzerine kurulu, GDPR uyumlu veri işleme için pratik bir uygulama rehberidir.
- [Guard](https://forgehouse.ai/tr/skiller/guard/), Kimlik doğrulama, yetkilendirme ve girdi doğrulamayı katmanlı bir derinlemesine savunma yığınına dizen, modern web uygulamaları için bir güvenlik sağlamlaştırma kılavuzu.
- [Memory Forensics](https://forgehouse.ai/tr/skiller/memory-forensics/), Olayları araştırmak ve kötü amaçlı yazılım analizi yapmak için bellek dökümlerini elde edip incelemeye yönelik çalışan bir başucu kılavuzu.
- [Memory Safety Patterns](https://forgehouse.ai/tr/skiller/memory-safety-patterns/), Rust, C++ ve C genelinde RAII, sahiplik, akıllı işaretçiler ve kaynak yönetimiyle bellek güvenli programlamaya yönelik diller arası bir rehber.
- [PCI Compliance](https://forgehouse.ai/tr/skiller/pci-compliance/), PCI Compliance, PCI DSS'in 12 temel gereksinimi, dört uyum seviyesi ve SAQ türleri arasında pratik bir yol sunarken denetim kapsamınızı belirgin şekilde küçültmenizi sağlar.
- [Protocol Reverse Engineering](https://forgehouse.ai/tr/skiller/protocol-reverse-engineering/), Bilinmeyen veya tescilli ağ protokollerini yakalama, çözümleme ve belgeleme için uçtan uca bir yöntem, ham paket yakalamadan yayınlanabilir bir protokol şartnamesine kadar.
- [SAST Configuration](https://forgehouse.ai/tr/skiller/sast-configuration/), Birden fazla dil için üç araçlı katmanlı savunma yığınıyla (Semgrep, SonarQube, CodeQL) Statik Uygulama Güvenlik Testi kurmanın eksiksiz şablonu.
- [Secrets Management](https://forgehouse.ai/tr/skiller/secrets-management/), HashiCorp Vault, AWS Secrets Manager, Azure Key Vault veya yerel platform çözümleri kullanarak CI/CD hatları için güvenli sır yönetimini uygular, böylece kimlik bilgileri asla koda gömülmez ve asla sızmaz.
- [Security Requirement Extraction](https://forgehouse.ai/tr/skiller/security-requirement-extraction/), Tehdit modellerini ve iş bağlamını somut, test edilebilir güvenlik gereksinimlerine dönüştürür, böylece güvenlik belirsiz bir sonradan akla gelen iş olmaktan çıkıp her özelliğin kabul kriterinin parçası olur.
- [Shell Security Hardening](https://forgehouse.ai/tr/skiller/shell-security-hardening/), Üretim Bash scriptlerini, shell'leri sessizce bozan enjeksiyon türlerine karşı sertleştirir: heredoc genişlemesiyle SQL enjeksiyonu, FTS5 sorgu enjeksiyonu, komut enjeksiyonu, stdin bombalama ve TOCTOU race condition'ları.
- [Skill Security Auditor](https://forgehouse.ai/tr/skiller/skill-security-auditor/), Her yeni veya güncellenmiş beceriyi ekosisteminize girmeden önce denetleyen otomatik bir güvenlik kapısı.
- [Stride Analysis Patterns](https://forgehouse.ai/tr/skiller/stride-analysis-patterns/), STRIDE yöntemine dayalı sistematik bir tehdit modelleme araç seti; her sistem bileşenini altı tehdit kategorisinin tamamından geçirir (Kimlik Taklidi, Veri Kurcalama, İnkar, Bilgi İfşası, Hizmet Engelleme, Yetki Yükseltme).
- [Supply Chain Risk Scoring](https://forgehouse.ai/tr/skiller/supply-chain-risk-scoring/), npm, PyPI ve Cargo bağımlılıklarının tedarik zinciri riskini, bir pull request içinde değiştikleri anda, kurulum veya yükseltme birleştirilmeden önce, puanlayın.
- [Threat Mitigation Mapping](https://forgehouse.ai/tr/skiller/threat-mitigation-mapping/), Belirlenen tehditleri doğru güvenlik kontrolleriyle eşleştiren ve savunma yatırımlarınızı tahmine değil bilinçli karara dayandıran yapısal bir çerçeve.
- [WP CLI Secure Hardening](https://forgehouse.ai/tr/skiller/wp-cli-secure-hardening/), Yedek-önce, staging-önce bir iş akışıyla WordPress sitelerini bozmadan kilitleyen, WP-CLI ve bash otomasyonu üzerine kurulu üretim seviyesi bir sertleştirme operasyonu.

## Sık sorulanlar

### Küçük bir ekip için sertleştirme nereden başlar?
Alarmlardan değil kapılardan: Auth Implementation Patterns ve Better Auth Best Practices en yaygın giriş hatalarını kapatır; sonra sertleştirme listeleri her sürümle çıkanı süpürür.

### Tehdit modelleme var mı, yoksa sadece kontrol listesi mi?
İki katman da var. Attack Tree Construction gerçek tehdit modelini kurar: kim, neyin üzerinden, hangi maliyetle saldırır, listeler ise çıktısını tekrarlanabilir sürüm disiplinine çevirir.

### Claude hâlihazırda kurduğum auth’u denetleyebilir mi?
Evet: auth skill’leri oturumları, token ömürlerini, sıfırlama akışlarını ve rol sınırlarını bilinen hata pattern’lerine karşı inceler; bulguları maruziyete göre sıralanmış düzeltmeler olarak döndürür.

## İlgili konular
- [Geliştirme](https://forgehouse.ai/tr/katalog/gelistirme/), 58 parça
- [DevOps & Altyapı](https://forgehouse.ai/tr/katalog/devops-altyapi/), 33 parça
- [E-Ticaret & Ödeme](https://forgehouse.ai/tr/katalog/eticaret-odeme/), 8 parça

https://forgehouse.ai/tr/katalog/guvenlik/