Zorluk
Güvenlik ekibi sürüm öncesi manuel onay kapısıydı: incelemeler sürümleri haftalarca geciktiriyor, geliştirme ekipleri güvenliği engel olarak görüyordu. PCI-DSS denetimlerinde kanıt toplamak haftalar alıyordu.
Çözüm
SAST, SCA, secret tarama ve konteyner imaj analizi tüm pipeline'lara kademeli olarak gömüldü; ilk fazda yalnızca görünürlük, ikinci fazda engelleyici kapılar açıldı. Böylece geliştirici deneyimi korunarak direnç oluşmadı.
İmaj imzalama ve admission control ile yalnızca doğrulanmış imajların üretime çıkması garanti altına alındı. Uyumluluk kanıtları sürekli ve otomatik üretilir hale getirildi.
Mimari yaklaşım
- Trivy, SonarQube ve gitleaks entegre CI hattı; merkezi bulgu yönetimi (DefectDojo)
- Sigstore/Cosign ile imaj imzalama, Kyverno admission policy'leri
- HashiCorp Vault ile merkezi secret yönetimi; statik anahtarların tasfiyesi
Sonuçlar
Kritik bulguların %90'ı üretime çıkmadan, commit aşamasında yakalanır oldu.
Güvenlik incelemesi kaynaklı sürüm gecikmesi ortadan kalktı; sürüm temposu korunarak güvenlik duruşu sertleşti.
PCI-DSS denetim hazırlığı 6 haftadan 4 güne indi.
“Güvenlik ekibimiz fren olmaktan çıktı, pipeline'ın parçası oldu. Denetçiye kanıtı artık sistem üretiyor.”