logo
Sözlük CI Gating

CI Gating Nedir?

Kısaca

CI Gating, geliştirme hattında otomatik bir “hattı durdurma” mekanizmasıdır. Kodu güvenlik ve kalite politikalarına karşı değerlendirir ve belirlenen standartları karşılamayan herhangi bir taahhüdü engeller. Bu, Shift-Left Security’nin temelini oluşturur.

Tanım: CI Gating’i Anlamak

CI Gating (Sürekli Entegrasyon Gating), kod değişikliklerinin ortak bir depoya birleştirilmeden önce doğrulandığı otomatik kontrol noktalarının kullanılmasını ifade eder. Bunu kod tabanınız için dijital bir filtre olarak düşünün; eğer bir kod parçası güvensizse, kötü biçimlendirilmişse veya mevcut mantığı bozuyorsa, kapı kapalı kalır.

ASPM (Uygulama Güvenliği Duruş Yönetimi) bağlamında, CI Gating, güvenlik görünürlüğünü gerçek risk önlemeye dönüştüren uygulama katmanıdır.

CI Gating Nasıl Çalışır

Süreç, bir geliştirici bir Çekme İsteği (PR) gönderdiği anda başlar. CI motoru (GitHub Actions veya Jenkins gibi) kodu birkaç “kapıdan” geçiren bir iş akışını tetikler:

Güvenlik Kapıları

Zafiyetleri tarar SAST, SCA ve Gizli Algılama kullanarak. Eğer yüksek dereceli bir CVE bulunursa, derleme başarısız olur.

Kalite Kapıları

Kod Kapsamı ve Birim Testleri ölçer. Eğer testler belirli bir eşik değerin (örneğin, %80) altına düşerse, kapı birleştirmeyi engeller.

Uyumluluk Kapıları

Lisans ihlalleri veya organizasyonel mimari standartlardan sapmalar için kontrol eder.

Tüm kapılar “Başarı” durumu döndürdüğünde, kod “engelsiz” hale gelir ve insan incelemesi veya otomatik dağıtım için hazır olur.

Neden CI Gating Esastır

Günümüz yazılım geliştirme süreçleri manuel güvenlik incelemeleri için çok hızlı ilerliyor. CI Gating üç kritik avantaj sağlar:

  1. Önleme Tedaviden Üstündür: Bir zafiyeti PR aşamasında engellemek, üretimde yamalamaktan çok daha ucuzdur.
  2. Uyarı Yorgunluğunu Ortadan Kaldırma: “Gürültüyü” (bilinen zafiyetler ve sözdizimi hataları) erken durdurarak, güvenlik ekipleri yüksek bağlamlı tehditlere odaklanabilir, binlerce çalışma zamanı uyarısını kovalamak yerine.
  3. Standartlaştırma: Her geliştiricinin, deneyim seviyesinden bağımsız olarak, aynı güvenlik ve kalite standartlarına uymasını sağlar.

Plexicus Perspektifi: Akıllı Gating

Plexicus’ta, geçişlerin bir engel olmaması gerektiğine inanıyoruz. Geleneksel güvenlik geçişleri, gerçek dünyada minimal risk oluşturan güvenlik açıklarından geliştiricileri sıklıkla engelleyerek güvenlik ve mühendislik ekipleri arasında sürtüşme yaratır.

Plexicus’ta Akıllı CI Geçişi şunlardan yararlanır:

  • EPSS Entegrasyonu: Güvenlik açıklarını yalnızca teorik şiddet puanlarına göre değil, vahşi doğada gerçek istismar olasılığına göre önceliklendirir. Platform, bulguları ağırlıklandırmak için EPSS (Exploit Prediction Scoring System) verilerini kullanır ve yalnızca gerçek istismar riski taşıyan güvenlik açıklarının engelleyici geçişleri tetiklemesini sağlar.
  • Plexicus Otomatik Düzeltme. Sorunları sadece işaretlemek yerine, Plexicus otomatik olarak belirli kod düzeltmeleri oluşturur ve düzeltme ile birlikte çekme istekleri oluşturur. Geliştiriciler, potansiyel bir engeli eyleme dönüştürülebilir bir iş akışına dönüştüren, engelleyici geçişlerle birlikte birleştirmeye hazır çözümler alır. Bu, tespitten çözüme kadar geçen süreyi önemli ölçüde azaltır.
  • Bağlamsal Önceliklendirme: Platform, test dosyaları ile üretimle yüzleşen API’ler, dokümantasyon ile çalışan kod ve örnek kod ile dağıtılmış sistemler gibi farklı bağlamlardaki güvenlik açıklarını ayırt eder. Bu AI destekli doğrulama süreci, yanlış pozitifleri filtreler ve yalnızca üretim kodundaki gerçek güvenlik risklerinin geçişleri tetiklemesini sağlar.

Güvenlik kapıları, engelleyiciler yerine olanak sağlayıcılar haline gelir. Geliştiriciler, yanlış pozitiflerden veya düşük riskli bulgulardan kaynaklanan gereksiz sürtüşmeleri atlayarak gerçek güvenlik açıkları için hemen uygulanabilir düzeltmeler alır.

Plexicus’ta birkaç adımda bir CI geçiş sistemi kurabilirsiniz:

  1. Varlık menüsüne gidin.
  2. Repo sekmesinde, bağlı olan deponuzu bulacaksınız.

repo-tab-ci-gating.png

  1. CI geçişini etkinleştirmek istediğiniz depoyu bulun ve Pipeline Kur düğmesine tıklayın.

setup-CI-gating.png

  1. Entegrasyon prosedürünü açıklayan bir onay iletişim kutusu görünecektir. Devam etmek için “Tamam”a tıklayın.
  2. Plexicus, deponuzda otomatik olarak yeni bir entegrasyon dalı oluşturur (“Plexicus-Workflow-Integration” adında) a. İş akışı yapılandırma dosyasını içeren bir çekme isteği oluşturulur n. Bu PR, deponuza gerekli pipeline yapılandırmasını ekler
  3. Kaynak kontrol platformunuza yönlendirileceksiniz (GitHub, GitLab, Bitbucket veya Gitea)
  4. Plexicus iş akışı entegrasyonunu içeren çekme isteğini inceleyin
  5. Otomatik güvenlik taramasını etkinleştirmek için çekme isteğini birleştirin

merge-pull-request-github-pull-request-plexicus-action.png

SSS

CI Geçişi, Kalite Kapısı ile aynı mı?

CI Geçişi, Kalite Kapılarını otomatikleştirir. Kalite Kapısı, manuel onayları içerebilen genel bir kavramken, CI Geçişi, CI hattı içinde kesinlikle otomatik “başarısız/geçer” mantığıdır.

“Sert Kapı” ve “Yumuşak Kapı” nedir?

Sert Kapı, sorun çözülene kadar birleştirmeyi tamamen engeller. Yumuşak Kapı (veya “Uyarı Kapısı”), birleştirmeye izin verir ancak sorunu daha sonra düzeltme veya manuel onay için işaretler.

Kapılar geliştirmeyi yavaşlatır mı?

Sadece kapılar kötü optimize edilmişse. Hızlı kontrolleri (Linting/SAST) önce çalıştırarak ve artımlı tarama kullanarak, ekipler güvenlikten ödün vermeden yüksek hızda çalışabilirler.

İlgili Terimler

Sonraki Adımlar

Uygulamalarınızı güvence altına almaya hazır mısınız? İleriye doğru yolunuzu seçin.

Ücretsiz Deneme Başlat

Plexicus'u 14 gün boyunca risksiz deneyin

Fiyatlandırmayı Görüntüle

Her büyüklükteki ekip için şeffaf fiyatlandırma

Topluluğa Katıl

Küresel Topluluğumuza Katılın

Belgeleri Oku

Kapsamlı Belgelerimizi Okuyun

Uygulamalarını Plexicus ile güvence altına alan 500+ şirkete katılın

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready