---
title: Supply Chain Risk Scoring
category: product
entity_type: skill
price: ₺369
canonical: https://forgehouse.ai/tr/skiller/supply-chain-risk-scoring/
lang: tr
hreflang_alt: https://forgehouse.ai/skills/supply-chain-risk-scoring/
last_updated: 2026-06-20
---

# Supply Chain Risk Scoring

> Score npm/PyPI/Cargo dependency risk before install/upgrade using bomdrift SBOM diff…

npm, PyPI ve Cargo bağımlılıklarının tedarik zinciri riskini, bir pull request içinde değiştikleri anda, kurulum veya yükseltme birleştirilmeden önce, puanlayın. Her şeyi tarayan araçlardan farklı bir soruyu yanıtlar: 'hangi zafiyetler var' değil, 'bu diff'te ne değişti ve endişelenmeli miyim?' Altı sinyal birlikte çalışır: SBOM farkı, typosquat tespiti, bakımcı-yaşı puanlaması, CVE önceliklendirme ve lisans politikası, ve geleneksel tarayıcıların kaçırdığı uzun vadeli saldırıları yakalar.

## Ne için kullanılır
- Bir Renovate veya Dependabot otomatik birleştirme PR'ını risk puanıyla kapı altına almak
- Typosquat edilmiş bir geçişli bağımlılığı, repoya girmeden yakalamak
- Kritik bir pakette yeni oluşturulmuş bir bakımcı hesabını işaretlemek
- Semver aralıklarını atlayan büyük bir sürüm sıçramasını incelemek
- Ticari kodda GPL/AGPL'yi reddeden bir lisans politikası uygulamak
- Yapışkan bir PR yorumu olarak bayt-belirlenimli SBOM farkı üretmek

## Faydalar
- Bir bağımlılık farkında neyin değiştiğini birleştirmeden önce tam olarak görün
- Salt CVE tarayıcılarının kaçırdığı typosquat ve bakımcı-devralma saldırılarını durdurun
- Bir paket bakımcı kümesini aniden değiştirdiğinde otomatik birleştirme botlarını engelleyin
- Yalnızca-bulgu yorumları ve KRİTİK/YÜKSEK eşikleriyle gürültüyü düşük tutun

## Ne içerir
- SBOM'ları anlık yakalayan, farklarını alan ve yapışkan bir PR yorumu yazan savunmacı bir CLI sarmalayıcısı
- Eklenen/çıkarılan/yükseltilen/düşürülen bileşenleri sınıflandıran bir CycloneDX SBOM fark ayrıştırıcısı
- Genç hesapları ve son sahiplik değişikliklerini işaretleyen Bayesçi bir bakımcı-risk puanlayıcı
- Sekiz paket ekosisteminde Jaro-Winkler typosquat tespitçisi
- Hazır bir CI iş akışı ve fail-on kuralları ile lisans izin/ret için commit'lenmiş bir politika dosyası
- On iki maddelik bir anti-pattern listesi ve bir kurulum doğrulama listesi

## Kimler için
Her şeyi tarayan araçlarının yanında diff-zamanlı bir kapı isteyen, bağımlılık yükseltme PR'larını inceleyen ekipler.

## Nasıl çalışır
Bağımlılık değiştiren her pull request'te skill'in koştuğu kapı döngüsü, kara kutu yok, yaptığı iş tam olarak bu:
1. Kapı lockfile veya manifest'e dokunan her PR'da otomatik tetiklenir: package.json, package-lock, pnpm-lock, requirements.txt, Pipfile.lock, Cargo dosyaları.
2. Faz 1 hem base branch hem PR head için byte-deterministik CycloneDX SBOM üretir; karşılaştırma yaklaşık değil birebirdir.
3. Faz 2 iki SBOM'u diff'ler ve değişen her bağımlılıkta 6 sinyali koşar: EPSS exploit olasılığı ve CISA KEV bayraklı CVE sorgusu, top-1000 paket kataloğuna karşı 0.85 eşikli Jaro-Winkler typosquat tespiti, Bayesçi maintainer yaşı skorlaması (xz deseni: genç hesap, ani aktivite, sahiplik devri), SPDX lisans politikası (GPL/AGPL red), çoklu major versiyon sıçraması ve yeni-yayınlandı bayrakları.
4. Faz 3 SARIF'i code scanning sekmesine yükler ve tek bir yapışkan PR yorumunu günceller; findings-only modu temiz PR'ları sessiz tutar, sinyal gürültüde boğulmaz.
5. Karar tavsiye değil zorlamadır: kritik CVE veya typosquat bulgusu hata koduyla çıkar ve merge'i keser; bu Renovate ve Dependabot otomatik merge'inin riskli yükseltmeleri geçirmesini de durdurur.
6. İstisnalar yalnızca süreli susturmadan geçer (tarihli suppress yorumu, en fazla 90 gün) artı aylık gözden geçirme; kabul edilen risk fosilleşmez, yeniden yüzeye çıkar.

## Sık sorulanlar
### Zaten Dependabot ve bir zafiyet tarayıcı kullanıyoruz. Bu paketle çakışmaz mı?
Farklı bir soruya cevap verir. Tarayıcılar tüm envanterinizde hangi zafiyetlerin var olduğunu söyler; bu paket tek bir PR diff'inde neyin değiştiğini puanlar: typosquat edilmiş paketler, yeni açılmış bakımcı hesapları, lisans değişimleri, yani CVE tarayıcıların kaçırdığı uzun vadeli saldırılar. Mevcut araçlarınızın yanında çalışmak için tasarlandı; Renovate veya Dependabot otomatik birleştirmesini kapılamak dahil.

### Typosquat'ı veya bakımcı devralmasını gerçekte nasıl yakalıyor?
Altı sinyalin ikisi bunun için var: Jaro-Winkler dize mesafesi tespitçisi yeni bağımlılık adlarını sekiz paket ekosisteminde karşılaştırır; Bayesçi bakımcı-risk puanlayıcısı ise genç hesapları ve yakın tarihli sahiplik değişimlerini işaretler, yani xz vakası deseni. İkisi de SBOM farkı üzerinde çalışır; PR'ın getirdiği bileşenlerde tetiklenir.

### Tüm bağımlılık ağacımı sürekli tarar mı?
Hayır, bu bilinçli bir tercih. Bu bir diff-zamanı kapısıdır: yalnızca pull request'te değişeni, birleştirmeden önce puanlar. Sürekli tam envanter taraması, çalışma zamanı izleme ve zafiyet yönetimi mevcut tarama araçlarınızda kalır; bu paket onların değişim anında bıraktığı boşluğu doldurur.

## Fiyat
₺369, tek seferlik, abonelik yok. KDV dahil.

İlgili rehber: [Yapay zekâ ile uygulama güvenliği](https://forgehouse.ai/tr/rehberler/yapay-zeka-uygulama-guvenligi/)