Birleşik Krallık Hükümeti, 07 Mayıs 2025 tarihinde, yazılım tedarikçilerinin ve müşterilerinin yazılım tedarik zinciri saldırıları ve diğer dijital tehditlerle ilişkili riskleri azaltmalarına yardımcı olmak için Yazılım Güvenliği Uygulama Kuralı’nı [“Kural/Kod” (Software Security Code of Practice)] tanıtmıştır. Bu tehditler genellikle yazılım geliştirme ve bakımındaki kaçınılabilir zayıflıklardan kaynaklanmaktadır. Kuruluşlar, anılan Kodun ilkelerini benimseyerek, operasyonlarının temelini oluşturan dijital teknolojilerin ve hizmetlerin temellerini güçlendirebilir.
- Arka Plan
Bu yazıda gönüllü bir Yazılım Güvenliği Uygulama Kuralı ana hatlarıyla açıklanmaktadır. Uygulama Kuralı, kuruluşların ve işletmelerin güvendikleri yazılımların güvenliğini ve dayanıklılığını iyileştirmek için geliştirilmiştir.
Yazılım Güvenliği Uygulama Kodu, yazılım tedarikçilerini ve müşterilerini yazılım tedarik zinciri saldırılarının ve diğer yazılım dayanıklılığı olaylarının olasılığını ve etkisini azaltmada desteklemek için tasarlanmıştır. Genellikle bu tür saldırılar ve kesintiler, yazılım geliştirme ve bakım uygulamalarındaki önlenebilir zayıflıklardan kaynaklanır. Bu tür olayların etkisi, kuruluşlar ve yazılım tedarikçileri arasındaki zayıf iletişim nedeniyle de daha da kötüleşebilir[1].
Bu Kod, kapsamlı bir katılımın ürünüdür ve (Birleşik Krallık) Ulusal Siber Güvenlik Merkezi’ndeki [National Cyber Security Centre] teknik uzmanlar ve bir grup sektör ve akademik uzmanla birlikte tasarlanmıştır. Ayrıca, Mayıs-Ağustos 2024 arasında yapılan bir kamuoyu görüş çağrısından alınan geri bildirimler kullanılarak da rafine edilmiştir. Yazılım tedarikçilerinin piyasa genelinde tutarlı bir yazılım güvenliği ve dayanıklılığı temel çizgisi oluşturmak için uygulaması beklenen 14 ilkeden oluşmaktadır.
Uygulama Kurallarını oluşturan ilkeler, işletme müşterilerine sağlanan her türlü yazılım için geçerlidir. Hükümet, dört temaya bölünmüş bu ilkeleri, her boyutta, türde veya sektördeki kuruluşlardan makul bir şekilde beklenmesi gereken temel ve ulaşılabilir önlemler olarak belirlemiştir. Bu ilkeler uygulanırsa, yazılım güvenliği ve dayanıklılığına yönelik sağlam bir yaklaşım temsil edecek ve dijital tedarik zincirlerini birbirine bağlayan dijital teknolojilerin ve hizmetlerin temellerini güvence altına almaya yardımcı olacaktır.
Yazılım Güvenliği Uygulama Kodu, (Birleşik Krallık) Bilim, Yenilik ve Teknoloji Bakanlığı [Department for Science, Innovation and Technology] tarafından yayınlanan daha geniş siber güvenlik rehberliği paketinin[2] bir parçası olarak değerlendirilmeli ve diğer uygulama kodlarıyla paralel olarak okunmalıdır. Kapsamda kabul edilen kuruluşlar ayrıca diğer ilgili güvenlik önlemlerine ve özellikle dijital teknolojileri kullanan tüm kuruluşlar için temel beklentileri belirleyen Siber Yönetişim Uygulama Kodu’na[3] [Cyber Governance Code of Practice] uymalıdır. Kapsamda kabul edilen kuruluşlar ayrıca işlevlerine bağlı olarak Yapay Zekâ Siber Güvenliği ve Uygulamalar ve Uygulama Mağazaları[4] [AI Cyber Security and Apps and App Stores] ile ilgili olanlar gibi daha fazla teknolojiye özgü uygulama koduna uyup uymamaları gerektiğini de değerlendirmelidir.
Bu gönüllü Uygulama Kodu, sınır ötesi faaliyet gösteren kuruluşlar için uyum yükünü sınırlamak amacıyla bu alandaki ilgili uluslararası yaklaşımları ve mevcut standartları tamamlayıcı olacak şekilde tasarlanmıştır. Mümkün olduğunda, anılan Kod, Amerika Birleşik Devletleri (ABD) Güvenli Yazılım Geliştirme Çerçevesi’nde ve Avrupa Birliği’nin Siber Dayanıklılık Yasası’nda[5] [US Secure Software Development Framework and EU’s Cyber Resilience Act] özetlenenler ile bu alandaki mevcut rehberlik ve resmi standartları içeren uluslararası açıdan tanınan en iyi uygulamaları yansıtır.
- Hedef Kitle ve Kapsam
Yazılım Güvenliği Uygulama Kuralları, işletmelere veya diğer kuruluşlara yazılım geliştiren ve/veya satan tüm kuruluşlardan makul bir şekilde beklenmesi gereken temel güvenlik ve dayanıklılık önlemlerini belirler. Buna, bağımsız yazılım veya yazılım hizmetleri sağlayanlar veya yazılım içeren mal veya hizmet satan kuruluşlar dâhildir. Yazılım veya yazılım bileşeni, uygulama veya sistem yazılımı dâhil olmak üzere herhangi bir tür yazılım olabilir. Ancak, bu Uygulama Kuralları, işletmeden işletmeye ticari ilişkiler bağlamında tescilli yazılımların satışı ve dağıtımıyla en alakalıdır.
Aşağıdaki tablo, bu gönüllü Uygulama Kodu’nun ilgili olabileceği farklı türdeki kuruluşlara ilişkin örnekler sunmaktadır.
Anılan Kod, Uygulama Kuralları’nda belirtilen önlemlerin kuruluş içinde önceliklendirilmesini ve uygulanmasını sağlamak için yazılım tedarik kuruluşlarındaki kıdemli liderlere yöneliktir. Yazılım tedarikçisinin sorumlulukları konusunda netlik olmasıyla, bu kıdemli liderler kuruluşlarındaki ilgili ekiplerin bu beklentileri karşılamak için gerekli adımları atmalarını ve bunu yapmak için ihtiyaç duydukları kaynaklara, araçlara ve bilgiye sahip olmalarını sağlayabilir.
Bu ilkeleri uygulamaktan sorumlu teknik ekipleri desteklemek için Yazılım Güvenliği Uygulama Kuralları, uygulama rehberliği ile desteklenmektedir. Bu rehber, Uygulama Kuralları ilkelerinin nasıl uygulanabileceği hakkında daha ayrıntılı bilgi sağlar. Uygulama, kuruluşun büyüklüğüne veya sektörüne veya üretilen yazılımın türüne bağlı olarak değişebilir, ancak sağlanan rehberlik kuruluşların kendileri için doğru uygulama seçeneğini bulmalarına yardımcı olacaktır. Ayrıca mümkün olduğunda mevcut rehberliğe ve çerçevelere işaret edecektir.
Aşağıdaki tabloda da farklı paydaş gruplarının Uygulama Kodu ve uygulama kılavuzuyla[6] nasıl etkileşime girmesinin beklendiği açıklanmaktadır.
- Güvence ve Öz Değerlendirme [assurance and self-assessment]
Birleşik Krallık Hükümeti bu uygulama koduna eşlik eden bir öz değerlendirme formu sağlamaktadır. Bu form, dâhili uyum izlemesi için kullanılabilir veya yazılım güvenliği güvencesi sağlamak için müşterilerle paylaşılabilir.
Bu Uygulama Kuralı için güvence yaklaşımı, Ulusal Siber Güvenlik Merkezi’nin İlkelere Dayalı Güvence yaklaşımını takip etmek için geliştirilmiştir. Bu, Uygulama Kuralını bir dizi Güvence İlkeleri ve İddiaları[7] [Assurance Principles and Claims] olarak ayırır. Uygulama Kuralını temel ilkeler olarak kullanan Güvence İlkeleri ve İddiaları, karşılanması durumunda yazılım tedarikçisinin Yazılım Güvenliği Uygulama Kuralı ilkelerine ulaştığı anlamına gelen bir dizi ideal senaryo iddiası türetir. Sağlanan kanıt türü, her kuruluş tarafından kullanılan belirli süreçlere bağlı olarak değişebilir ki; bu da kuruluşların sağlanan formu kullanarak uyumu nasıl gösterebilecekleri konusunda esneklik sağlar.
Birleşik Krallık Hükümeti şu anda bu uyum sürecine dayalı bir sertifikasyon şeması geliştirmek için çalışmaktadır. Bu sertifikasyon süreci hakkında daha fazla bilgi zamanı gelince paylaşılacaktır.
- Yetenek Sahipleri [skills]
Üst düzey liderler, kuruluşun bu Uygulama Kuralları’nın koşullarını yerine getirmesini sağlamaktan sorumlu olmalıdır. Bu sorumluluğun bir parçası, aşağıdaki önlemleri uygulayan ilgili ekiplerin ve bireylerin gerekli becerilere ve kaynaklara sahip olmasını sağlamaktır. Bu, resmi yeterliliklerin yanı sıra iş başında eğitim ve ilgili bilgiye maruz kalmayı (örneğin güvenli kodlama standartları) içerir. Yazılım güvenliği becerilerinin geliştirilmesini desteklemek, yazılım güvenliğini bir organizasyon önceliği olarak teşvik eden bir iç kültür oluşturmak için esastır.
Sektördeki eğitim olanakları ve yeterliliklerin yanı sıra, aşağıdaki hükümet planları siber güvenlik ekosistemini güçlendirmeye yardımcı olur ve kuruluşların uygun becerileri tanımasına veya mevcut personel için gelişim yolları sağlamasına yardımcı olabilir:
Birleşik Krallık Siber Güvenlik Konseyi, Birleşik Krallık’ta siber güvenlik profesyonel standartları için ilk başvuru noktasıdır. Kraliyet Tüzüğü [Royal Charter] marifetiyle atanan Konsey, siber güvenlik profesyonellerinin rollerinde göstermeleri gereken bilgi, beceri ve deneyimi belirler. Bu, siber kariyer yolunun, işverenler ve uygulayıcılar için gezinmeyi ve erişimi kolaylaştırmayı amaçlamaktadır.
Ulusal Siber Güvenlik Merkezi sertifikalı derece programı, Birleşik Krallık Yüksek Öğrenim Kurumları [Higher Education Institutions] tarafından yürütülen, iyi tanımlanmış ve ilgili siber güvenlik içeriği sağlayan ve uygun bir standarda göre sunulan bilgi işlem ve siber güvenlik kurslarını tanır. Ulusal Siber Güvenlik Merkezi sertifikalı dereceler, üniversitelerin yetenek sahiplerini çekmesine ve işverenlerin yetenekli personel işe almasına ve mevcut çalışanların siber becerilerini geliştirmesine yardımcı olur ve ayrıca olası öğrencilerin çok değerli bir yeterlilik ararken daha bilinçli seçimler yapmalarını sağlar.
Ulusal Siber Güvenlik Merkezi, 2025 yılında Siber Güvenlik Bilgi Kurumu’nda [Cyber Security Body of Knowledge] tanımlandığı gibi Yazılım Güvenliği ve Güvenli Yazılım Yaşam Döngüsü [Software Security and Secure Software Lifecycle] bilgi alanlarının öğretimini teşvik edecek revize edilmiş bir lisans derecesi sertifikasyon standardı başlatmayı planlamaktadır. Amaç, bilgi işlem ve siber güvenlikle ilgili derece kurslarından mezun olanların, Yazılım Uygulama Kuralları’nı karşılayacak bilgi ve becerilere sahip olarak teknoloji işgücüne girme sayısını artırmaktır.
- Gönüllü Yazılım Güvenliği Uygulama Kodu [Voluntary Software Security Code of Practice]
Yazılım Güvenliği Uygulama Kodu, “4” temaya bölünmüş “14” ilke içerir. Kuruluşları içinde takip edilen ilkelerden sorumlu olmak için kıdemli liderlik seviyesinde bir Kıdemli Sorumlu atanmalıdır.
5.1. Güvenli tasarım ve geliştirme [secure design and development]
Bu ilkeler, yazılımın sağlandığı anda uygun şekilde güvenli olmasını sağlar. Tedarikçi kuruluşlardaki Kıdemli Sorumlu, kuruluşları tarafından satılan herhangi bir yazılım veya yazılım hizmetiyle ilgili olarak kuruluşlarının aşağıdakileri sağladığından emin olmalıdır:
5.1.1. Yerleşik, güvenli bir geliştirme çerçevesinin takip edilmesi.
5.1.2. Yazılımın yapısının anlaşılması ve geliştirme yaşam döngüsü boyunca üçüncü taraf bileşenlerinin alımı ve bakımıyla bağlantılı risklerin değerlendirilmesi.
5.1.3. Dağıtımdan önce yazılım ve yazılım güncellemelerini test etmek için net bir sürece sahip olunması.
5.1.4. Yazılımın geliştirme yaşam döngüsü boyunca tasarımda güvenli ve varsayılan olarak güvenli ilkelerinin izlenmesi.
5.2. Çevre güvenliği oluşturma [build environment security]
Bu ilkeler, yapı ortamlarının tehlikeye atılma riskini en aza indirmek ve yazılımın bütünlüğünü ve kalitesini korumak için uygun adımların atılmasını sağlar.
Tedarikçi kuruluşlardaki Kıdemli Sorumlu, kuruluşları tarafından satılan herhangi bir yazılım veya yazılım hizmetiyle ilgili olarak kuruluşlarının aşağıdakileri sağladığından emin olmalıdır:
5.2.1. Yapı ortamının yetkisiz erişime karşı korunması.
5.2.2. Yapı ortamındaki değişikliklerin kontrol edilmesi ve günlüğe kaydedilmesi.
5.3. Güvenli dağıtım ve bakım [secure deployment and maintenance]
Bu ilkeler, yazılımın kullanım ömrü boyunca güvenli kalmasını sağlayarak, güvenlik açıklarının olasılığını ve etkisini en aza indirir.
Tedarikçi kuruluşlardaki Kıdemli Sorumlu, kuruluşları tarafından satılan herhangi bir yazılım veya yazılım hizmetiyle ilgili olarak kuruluşlarının aşağıdakileri sağladığından emin olmalıdır:
5.3.1. Yazılımın müşterilere güvenli bir şekilde dağıtılması.
5.3.2. Etkili bir güvenlik açığı ifşa süreci uygulanması ve yayınlanması.
5.3.3. Yazılım bileşenlerindeki güvenlik açıklarını proaktif olarak tespit etmek, önceliklendirmek ve yönetmek için süreçler ve belgeler oluşturulması.
5.3.4. Uygun durumlarda güvenlik açıklarının ilgili taraflara bildirilmesi.
5.3.5. Müşterilere zamanında güvenlik güncellemelerinin, yamalarının ve bildirimlerinin sağlanması.
5.4. Müşterilerle iletişim [communication with customers]
Bu ilkeler, tedarikçi kuruluşların müşterilere etkili risk ve olay yönetimini sağlayacak yeterli bilgiyi sağlamasını garanti altına alır.
Tedarikçi kuruluşlardaki Kıdemli Sorumlu, kuruluşları tarafından satılan herhangi bir yazılım veya yazılım hizmetiyle ilgili olarak kuruluşlarının aşağıdakileri sağladığından emin olmalıdır:
5.4.1. Satılan yazılım için sağlanan destek ve bakım düzeyini belirten bilgilerin müşteriye sağlanması.
5.4.2. Yazılımın satıcı tarafından artık desteklenmeyeceği veya bakımının yapılmayacağı konusunda müşterilere en az 1 (bir) yıl önceden bildirimde bulunulması.
5.4.3. Müşteri kuruluşlarına önemli etki yaratabilecek önemli olaylar hakkında müşterilere bilgi temin edilmesi.
* Bu çalışmaya esas kaynak için bkz. “Software Security Code of Practice: Guidance, United Kingdom Department for Science, Innovation and Technology, 7 May 2025,< https://www.gov.uk/government/publications/software-security-code-of-practice/software-security-code-of-practice > erişim tarihi 30 Haziran 2025”. Bu yazıda yer alan görüşler Birleşik Krallık) Bilim, Yenilik ve Teknoloji Bakanlığı’na ait olup işbu metin yazarının çalıştığı kurumu bağlamaz, yazarın çalıştığı kurum veya göreviyle ilişki kurulmak suretiyle kullanılamaz. Yazıdaki tüm hatalar, kusurlar, noksanlıklar ve eksiklikler işbu metin yazarına aittir.
[1] Bu temel beklentilerin ötesinde, daha hassas sektörlerde veya ortamlarda faaliyet gösteren ya da daha büyük bir müşteri tabanına sahip kuruluşların, daha karmaşık tehdit aktörlerine karşı korunmak için daha gelişmiş önlemlere ihtiyaç duyması gerekebilir.
[2] < https://www.gov.uk/government/collections/cyber-security-codes-of-practice >.
[3] < www.gov.uk/government/publications/cyber-governance-code-of-practice >.
[4]<https://www.gov.uk/government/publications/ai-cyber-security-code-of-practice>;<https://www.gov.uk/government/publications/code-of-practice-for-app-store-operators-and-app-developers >.
[5]<https://csrc.nist.gov/projects/ssdf >; < https://www.european-cyber-resilience-act.com/ >.
[6]<https://www.ncsc.gov.uk/collection/software-security-code-of-practice-implementation-guidance >.
[7]<https://www.ncsc.gov.uk/information/principles-based-assurance#section_5>;< https://www.ncsc.gov.uk/guidance/software-security-code-of-practice-assurance-principles-claims >.
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.