Yüksek Lisans Adayı: Ata Seren

EABD: Siber Güvenlik

Tarih: 15.01.2026 / 10:00

Yer: Cisco Lab

Özet: Statik Uygulama Güvenlik Testi (Static Application Security Testing – SAST) araçları, yazılım geliştirme sürecinde güvenlik açıklarının erken aşamada tespit edilmesini sağlayarak üretim ortamındaki risklerin azaltılmasına katkı sunmaktadır. Ancak bu araçların gerçek dünya koşullarındaki etkinliğini değerlendirmek, büyük ölçüde sentetik kıyaslama veri kümelerine ve toplulaştırılmış değerlendirme metriklerine dayanılması nedeniyle zorlaşmaktadır. Bu tez, SAST araçlarının altında yatan mekanizmaları inceleyerek kaynak kodun nasıl ayrıştırıldığını, sözdizimsel ve anlamsal yapıların nasıl analiz edildiğini ve potansiyel güvenlik zafiyetlerinin nasıl tespit edildiğini ele almaktadır. Açık kaynak SAST araçlarından oluşan bir küme üzerinde, her bir raporlanan bulgunun ayrı bir eyleme geçirilebilir tespit olarak ele alındığı katı bir tespit bazlı değerlendirme yaklaşımı kullanılarak karşılaştırmalı bir analiz gerçekleştirilmiştir. Bu analiz kapsamında tespit doğruluğu, yanlış pozitif ve yanlış negatif oranları, performans verimliliği ve programlama dili kapsamı hem kıyaslama veri kümeleri hem de bilinçli olarak zafiyet içeren gerçek dünya uygulamaları üzerinde değerlendirilmiştir. Nicel analizlere ek olarak, kullanılan analiz teknikleri ve araçların sunduğu ek özellikler gibi nitel ve mekanizma odaklı değerlendirmeler de deneysel bulguların yorumlanmasına dahil edilmiştir. Elde edilen sonuçlar, incelenen hiçbir SAST aracının tüm programlama dilleri ve veri kümeleri genelinde tutarlı biçimde yüksek doğruluk sağlayamadığını göstermektedir. Bu çalışma, mevcut SAST tasarımlarında doğruluk, kullanılabilirlik ve analiz derinliği arasındaki yapısal farkları ortaya koyarak araç seçimine yönelik uygulanabilir içgörüler sunmaktadır.