1. Resmî Kaynak Taraması

Uygulama veya yazılım sağlayıcısının resmi web sitesi, GitHub gibi kod deposu ya da güvenlik bildirimleri sayfasına bakın. Aşağıdakileri kontrol edin:

• Bağımsız güvenlik testi raporu (penetrasyon testi) mevcut mu?
• Bilinen açıklar için MITRE CVE veritabanında bir kayıt bulunuyor mu?
• SBOM (Software Bill of Materials) veya üçüncü taraf bileşenlerin listesi sunulmuş mu?
• Yama süreçleri ve güvenlik güncelleme geçmişi şeffaf mı?

2. İmza ve Hash Kontrolü

İndirilen kurulum dosyasının dijital imzası ve hash değeri varsa doğrulayın:

Get-FileHash -Path C:\path\to\installer.exe -Algorithm SHA256
Get-AuthenticodeSignature -FilePath C:\path\to\installer.exe | Format-List
            

Bu sayede dosya bozulmamış mı, imza geçerli mi kontrol edersiniz.

3. Vulnerability DB Taraması

Uygulamaya ait bileşenlerin açıklarının yayınlanıp yayınlanmadığını kontrol edin. Örneğin:

• MITRE CVE veritabanında yazılım adıyla arama.
• Github Advisory, bağımsız güvenlik forumları veya sağlayıcının “security advisory” sayfası.

4. Dinamik Davranış Analizi

Uygulamayı izole bir ortamda, sanal makinede (VM) çalıştırarak şunları gözleyin:

• Hangi dosyaları yazıyor veya hangi servisleri oluşturuyor?
• Ağ bağlantıları açıyor mu? Hangi IP/portlara erişim sağlıyor?
• Beklenmeyen registry değişiklikleri veya startup servisleri var mı?

netstat -abno > C:\temp\netstat_output.txt
            

5. Statik Analiz / Açık Kaynak Tarama

Eğer kaynak kodu erişilebilir durumdaysa veya üçüncü parti bileşenleri varsa:

• SCA (Software Composition Analysis) araçları ile bağımlılıkları tarayın.
• Kodun imza kontrolünü, güvenli kod kurallarına uygunluğunu değerlendirin.

6. Minimum Yetki ve İzin Modeli

Uygulamanın hangi yetkilerle çalıştığını değerlendirin:

• Admin hakları gerektiriyor mu?
• Servis olarak çalışıyor mu ve sistem başlangıcında otomatik başlıyor mu?
• Ağda yalnızca gerekli segment ve kullanıcı gruplarına erişimi var mı?

7. Ağ ve Uç Nokta Kontrolleri

Kurumsal ortamda uygulamayı çalıştırmadan önce aşağıdakileri uygulayın:

• EDR (Endpoint Detection & Response) ya da benzeri çözümlerle izleme aktif olsun.
• Ağ proxy ya da TLS Inspection gibi ağ güvenliği katmanları devrede olsun.
• Güncelleme mekanizması otomatik veya belirlenmiş aralıklarla çalışıyor olsun.

8. Güncelleme & Destek Süreci

Sağlayıcının güvenlik olaylarını yanıtlama süreci ve destek mekanizması önemli bir kriterdir:

• Sağlayıcı bir CSIRT (Computer Security Incident Response Team) ya da güvenlik iletişimi kanalı sunuyor mu?
• Yama yayınlama süresi ve geçmişi açık şekilde yer alıyor mu?
• Uyumluluk ve sertifikalar (ör. ISO 27001, SOC2) mevcut mu?

📋 Kısa Özet Tablosu

📝 Sonuç

Yeni bir uygulamayı kurumsal ağınızda kullanmadan önce yukarıdaki adımları takip etmek, risklerinizi ciddi şekilde azaltır. Bu yöntem yalnızca bilinen kötü yazılımlara karşı değil, aynı zamanda “henüz keşfedilmemiş” güvenlik zafiyetlerine karşı proaktif bir yaklaşım sağlar. Güvenlik stratejinizin bir parçası olarak bu kontrol listesini standart hale getirmeniz, organizasyonunuzun yazılım güvenliği olgunluğunu artırır.