---
title: Brain Snyk Trivy CI
category: product
entity_type: skill
price: ₺369
canonical: https://forgehouse.ai/tr/skiller/brain-snyk-trivy-ci/
lang: tr
hreflang_alt: https://forgehouse.ai/skills/brain-snyk-trivy-ci/
last_updated: 2026-06-20
---

# Brain Snyk Trivy CI

> Configure Snyk + Trivy CI vulnerability scanning for Brain MCP servers, customer…

Bağımlılık taraması için Snyk'i; konteyner, altyapı kodu ve dosya sistemi taraması için Trivy'yi bir araya getiren, ikisi de GitHub Actions'a bağlı ve sonuçları SARIF biçiminde Güvenlik sekmesine yükleyen, dağıtıma hazır bir CI güvenlik kurulumu. KRİTİK ve YÜKSEK önemdeki açıkların derlemeyi engellemesi için önem eşikleri uygular; bu arada zorunlu son kullanma tarihli, disiplinli bir görmezden gelme politikası tutar. Sonuç: hiçbir açıklı bağımlılık veya konteyner imajı üretime gitmez.

## Ne için kullanılır
- Yeni bir MCP sunucusuna veya Node.js projesine dağıtım öncesi güvenlik kapısı eklemek
- Bir Next.js projesini Vercel dağıtımından önce açıklara karşı taramak
- Hetzner veya benzeri sunucularda Docker konteyner imajlarını ve Dockerfile'ları taramak
- Bağımlılıklar veya gereksinimler değiştiğinde geri dönen açıkları yakalamak
- Yapılandırma dosyalarında, Terraform veya Kubernetes manifestlerinde altyapı yanlış yapılandırmalarını tespit etmek
- Yazım hatası taklitleri ve zararlı postinstall betikleri gibi tedarik zinciri saldırılarına karşı savunmak

## Faydalar
- KRİTİK ve YÜKSEK önemdeki açıklı bağımlılık ve imajları üretimden uzak tutan sert bir kapı
- Bir tarayıcı kaçırırsa diğerinin yedeklediği, Snyk ve Trivy'nin birbirini desteklediği katmanlı savunma
- Eyleme dönük KRİTİK ve YÜKSEK bulgulara odaklanıp gürültüyü göz ardı ederek azalan uyarı yorgunluğu
- Disiplinli istisnalar: her görmezden gelinen açık bir gerekçe, bir sahip ve 90 günlük son kullanma süresi taşır

## Ne içerir
- SARIF yükleme ve KRİTİK/YÜKSEK başarısızlık adımıyla Snyk GitHub Actions iş akışı
- Veritabanı önbelleğiyle dosya sistemi, konteyner imajı ve altyapı kodu tarayan Trivy iş akışı
- Zorunlu gerekçe ve son kullanma alanlarıyla disiplinli bir .snyk görmezden gelme politikası şablonu
- Önem eşikleri, tarayıcı seçimi ve lisans kurallarıyla bir trivy-config.yaml
- Önem tablosu ve tehdit kategorisi etiketlemesiyle bir PR yorum şablonu
- 12 maddelik anti-desen listesi, platform farkı tabloları ve kurulum doğrulama kontrol listesi

## Kimler için
Açıklı bağımlılıkları ve konteyner imajlarını üretime ulaşmadan engelleyen otomatik, katmanlı bir CI kapısı isteyen DevOps ve güvenlik mühendisleri.

## Nasıl çalışır
Production'a CRITICAL/HIGH CVE çıkmasın diye skill'in kurduğu ve çalıştırdığı pipeline, kara kutu yok, yaptığı iş tam olarak bu:
1. İki GitHub Actions workflow ayağa kaldırılır: pull request, main'e push ve haftalık Pazartesi cron'da çalışan Snyk SCA job'ı (böylece çoktan merge edilmiş koddaki yeni CVE'ler de yakalanır) ve dosya sistemi, container image ve IaC misconfig tarayan, günlük drift cron'lu Trivy job'ı.
2. Workflow'lar kurulurken kendileri de supply chain saldırısına karşı sertleştirilir: postinstall zararlısı CI'da asla çalışmasın diye npm ci --ignore-scripts ve asla @main değil, tam sürüme sabitlenmiş action versiyonları.
3. Pareto severity politikası uygulanır: CRITICAL ve HIGH build'i sert düşürür, MEDIUM uyarı yorumu olur, LOW ve INFO yalnızca rapora gider; böylece geliştirici 500 gürültü bulgusuyla duyarsızlaşmaz.
4. Her iki tarayıcının SARIF sonuçları GitHub Security sekmesine yüklenir, ardından PR'a severity tablosu, STRIDE kategorisiyle etiketlenmiş en kritik bulgular ve somut düzeltme adımları içeren yorum bırakılır.
5. False positive'ler sessizlikle değil disiplinle yönetilir: her .snyk veya .trivyignore kaydı CVE ID, tek cümle gerekçe, sahip ve en fazla 90 günlük son kullanma tarihi ister; süre dolunca bulgu otomatik olarak yeniden build düşürür.
6. Kapı kilitlenir: branch protection iki tarama job'ının da geçmesini merge şartı yapar ve kurulum, bilinçli olarak bilinen zafiyetli bir bağımlılık ekleyip PR'ın düştüğünü görerek doğrulanır.

## Sık sorulanlar
### Bu GitHub Actions'a mı bağlı, yoksa başka bir CI'da çalıştırabilir miyim?
Kurgu, Güvenlik sekmesine SARIF yüklemeli GitHub Actions'ı varsayar. Snyk ve Trivy'nin kendisi taşınabilir tarayıcılardır ama teslim edildiği haliyle hazır kapı GitHub'ın hattı için kuruludur, kutudan çıktığı gibi GitLab veya Jenkins için değil.

### İki tarayıcı iki kat uyarı demek gibi. Beni gürültüye boğmaz mı?
Örtüşmezler. Snyk bağımlılıkları, Trivy konteyner, IaC ve dosya sistemini ele alır, yani bu çakışma değil kapsamdır. Önem eşikleri derlemeyi kapılar, böylece yalnızca KRİTİK ve YÜKSEK bir dağıtımı durdurur, geri kalanı engelleyici değil görünürlük olarak kalır.

### Derleme bu kapıdan geçerse uygulamam gerçekten güvenli mi?
Hayır. Bilinen CVE'li bağımlılıkları, konteyner ve IaC katmanlarınızı tarar, kendi uygulama mantığınızı değil. Temiz bir geçiş, işaretlenmiş zafiyetli paket veya imaj olmadığı anlamına gelir, yazdığınız koddaki hatalar tamamen ayrı bir kapıdır.

## Fiyat
₺369, tek seferlik, abonelik yok. KDV dahil.

İlgili rehber: [Yapay zekâ ile uygulama güvenliği](https://forgehouse.ai/tr/rehberler/yapay-zeka-uygulama-guvenligi/)