---
title: SAST Configuration
category: product
entity_type: skill
price: ₺369
canonical: https://forgehouse.ai/tr/skiller/sast-configuration/
lang: tr
hreflang_alt: https://forgehouse.ai/skills/sast-configuration/
last_updated: 2026-06-20
---

# SAST Configuration

> Configure Static Application Security Testing (SAST) tools for automated vulnerability…

Birden fazla dil için üç araçlı katmanlı savunma yığınıyla (Semgrep, SonarQube, CodeQL) Statik Uygulama Güvenlik Testi kurmanın eksiksiz şablonu. Zafiyet tespitini IDE, commit öncesi ve CI katmanlarına çekerek hataları sahaya çıkmadan yakalar; aynı zamanda yanlış pozitif gürültüsünü kontrol altında tutarak geliştiricinin uyarılara gerçekten güvenmesini sağlar.

## Ne için kullanılır
- CI/CD hattına SAST taraması kurma
- Kendi koduna özel desen eşleştirmeli güvenlik kuralları yazma
- Temel hat ve ince ayar ile yanlış pozitif oranını %10 altına çekme
- Kritik bulgular için birleştirmeyi engelleyen kalite kapıları kurma
- Shift-left kapsamı için commit öncesi ve IDE taraması ekleme
- Katmanlı savunma için birden fazla tarama motorunu birleştirme

## Faydalar
- Enjeksiyon, gömülü sır ve dizin gezinme açıklarını üretimde değil birleştirmeden önce yakala
- Temel hat commit'leri ve süreli baskılamalarla alarm yorgunluğunu azalt, gerçek sorunlar öne çıksın
- Sessizce atlanamayan fail-secure CI politikalarıyla güvensiz kodu kapıda durdur
- Gerçek riskin %80'ini yakalayan kuralların %20'sine (OWASP Top 10, CWE Top 25) odaklan

## Ne içerir
- Üretime hazır Semgrep yapılandırması ile özel kural örnekleri ve ince ayar desenleri
- Üç motorun karşılaştırması (desen eşleştirme, kalite kapısı, taint analizi)
- Tüm birikmiş listeyi değil yalnızca yeni bulguları gösteren temel hat commit akışı
- GitHub Actions, GitLab CI ve commit öncesi kanca entegrasyon parçacıkları
- Uyumluluk tarama önayarları (PCI-DSS) ve SARIF çıktı yönetimi
- Anti-desen ve uç durum rehberi (monorepo, üretilen kod, üçüncü taraf bağımlılıklar)

## Kimler için
Geliştiricileri yanlış pozitiflerde boğmadan, otomatik ve düşük gürültülü zafiyet taramasını geliştirmenin her aşamasına gömmek isteyen mühendislik ve DevSecOps ekipleri için.

## Nasıl çalışır
Bir kod tabanına statik güvenlik taraması bağlanırken skill'in koştuğu kurulum ve zorlama döngüsü, kara kutu yok, yaptığı iş tam olarak bu:
1. Dilleri ve uyum gereksinimlerini envanterle, sonra 3 araçlı yığını bilinçli kur: hızlı özel pattern kuralları için Semgrep, kalite kapısı ve teknik borç için SonarQube, pattern eşleşmenin kaçırdığı taint takibi için CodeQL.
2. Baseline taraması koş ve baseline commit ile sabitle; geliştirici yalnızca YENİ bulguları görür, 500 eski uyarı artı 2 yeni demek 502'sinin de yok sayılması demektir, baseline bunu öldürür.
3. Gürültüyü bilinçli kes: test, fixture ve üretilmiş kod .semgrepignore'a girer, kuralların yalnızca yüzde 15-20'si aktif tutulur (önce OWASP Top 10 ve CWE Top 25), false positive hedefi yüzde 10 altıdır.
4. 4 zorlama katmanını bağla: yazarken IDE eklentisi, lokalde pre-commit hook, P0 bulguda merge'i kesen PR kontrolü (SQL injection, komut injection, hardcoded secret, path traversal) ve haftalık CodeQL derin taraması.
5. Fail-secure politikayı zorla: başarısız veya timeout olan tarama build'i KIRMIZI yapar, continue-on-error yasaktır, her susturmanın son kullanma tarihi vardır ve tarih geçince bulgu yeniden görünür.
6. SARIF çıktısını code scanning sekmesine ve CI artifact'ine gönder, susturma birikimini takvimle gözden geçir ki kabul edilen risk alışkanlık değil karar olarak kalsın.

## Sık sorulanlar
### Üç aracı birden kurmak zorunda mıyım, tekiyle başlayabilir miyim?
Hayır, hepsi ilk günden şart değil. Katmanlar bağımsız çalışır; yalnızca Semgrep yapılandırması ve temel hat akışıyla başlayıp SonarQube veya CodeQL'i sonra ekleyebilirsiniz. Üçlü yığın katmanlı savunma içindir, giriş şartı değil.

### Araçların varsayılan kural setlerini açmaktan farkı ne?
Fark motorların etrafındaki ince ayar disiplininde: yalnızca yeni bulguları gösteren temel hat commit'leri, süreli baskılamalar ve gerçek riskin çoğunu yakalayan OWASP Top 10 ile CWE Top 25 önceliklendirmesi. Varsayılan setler tek başına ekibi kimsenin okumadığı yanlış pozitif gürültüsüne boğar.

### İş mantığı kusurlarını veya yalnızca çalışma anında görülen açıkları da bulur mu?
Hayır. Statik analiz desen eşleştirme ve taint analizidir; enjeksiyonu, gömülü sırları ve dizin gezinmeyi birleştirme öncesi yakalar. Yetkilendirme tasarımı hataları ve iş mantığı kusurları tehdit modelleme, kod incelemesi veya DAST ister.

## Fiyat
₺369, tek seferlik, abonelik yok. KDV dahil.

İlgili rehber: [Yapay zekâ ile uygulama güvenliği](https://forgehouse.ai/tr/rehberler/yapay-zeka-uygulama-guvenligi/)