Rekabet gücünün artıran proje
Turkcell Türkiye’nin öncü ve yenilikçi şirketlerinin başında geliyor. Son yıllarda bir GSM operatöründen kurumsal şirketlerin dijitalleşmesine liderlik eden bir teknoloji devine dönüşen şirket, kendi süreçlerini iyileştirmek için sürekli yatırım yapıyor. Turkcell’in yaptığı önemli iyileştirme projelerinden biri de DevOps alanında gerçekleştirildi. Turkcell Ofansif Güvenlik Direktör Yardımcısı Abdurrahman Şakar, ilk fazı tamamlanan projeyle ilgili olarak, “Turkcell’in büyüklüğü, uygulama ve geliştirici sayıları düşünüldüğünde, proje maliyetlerimiz azaldı. Ayrıca daha hızlı geliştirmeler yapıldığı için iş biriminin rekabet gücü ciddi miktarda arttı.” diyor. Çoğu zaman en son aşamaya bırakılan güvenlik konusunun DevOps işleyişini yavaşlatırken geliştirme maliyetini artırdığını belirten Şakar, Turkcell Ofansif Security ekibinin servislerin daha güvenli olması için zafiyet taramalarını ve sızma testlerini gerçekleştirdiğini ancak güvenlik testlerinin gerçekleştirilmesi için belirli sürelere ihtiyaç duyulduğunu anlatıyor. Bu sorunların çözülmesi ve geliştirme ekiplerini güvenlik ekiplerine yakınlaştırmak için DevSecOps döngüsüne ve kültür dönüşümüne ihtiyaç duyulduğunu ifade eden Şakar, bu ihtiyaca uygun olarak Turkcell ve Micro Focus’un bir araya gelerek, “Turkcell DevSecOps Projesi”ni hayata geçirdiğini söylüyor.
Yapılan entegrasyonlar
Turkcell DevSecOps Projesi belli aşamaları barındırıyor. Birçok uygulamanın devreye alındığı projede ilk olarak güvenlik testi süreçlerinin önemli bir parçası olan kaynak kod analizleriyle ilgili çalışma gerçekleştirildi. Turkcell’de yüzlerce yazılım bulunduğu için bu uygulamaların kaynak kod analizlerinin yapılması ve kaynak kod testlerinin doğası gereği oluşan false-positive bulgularının ayıklanarak takip edilmesi zorlu bir süreç oluşturuyordu. Ayrıca aynı anda yapılan birçok geliştirme sırasında kaynak kod analizlerini yapan ekiplerin bekletilmemesi gerekiyordu. Bu konuda kaynak kod analizlerinin CI/CD entegrasyonlarının yapılması, false-positive bulgularının ayıklanması ve bu bulguların kayıtlar (ticket) üzerinden takip edilmesi için Micro Focus’un Fortify ürünü kullanıldı. Fortify ile DevOps pipeline’ı hazır olan uygulamalarda devreye alımlardan önce kaynak kod analizlerinin yapılması ve “false positive issue” ların ekipler tarafından kolayca takip edilmesi için de entegrasyonlar gerçekleştirildi.
“Maliyetlerimiz azaldı”
CI\CD entegrasyonu hazır olmayan uygulamalar için de Fortify tarayıcılarında hazırlanan rutin taramalarla proje takibinin kolaylaştırıldığını ve geliştirme ekiplerinin hızlı aksiyon alabilir hale geldiğini belirten Abdurrahman Şakar, “Aynı zamanda Fortify’ın, geliştiricilerin yazılım geliştirme araçlarına sunduğu eklenti ile geliştiricilerimiz yazılımları geliştirirken tarama yaparak bulguları önceden tespit edebiliyor. Bu sayede hem proje planlarına uyum sağlanmasında hem geliştirme tamamlandıktan sonra çıkan güvenlik bulgularının henüz geliştirme esnasında tespit edilmesiyle maliyet açısından kazanç sağlandı.” diyor. Tüm bunlara ek olarak Şakar; bu projeyle birlikte, gelişen ve hızla değişen teknoloji dünyasına güvenlik süreçlerinin de dahil edilerek, hızlı ve güvenli uygulamaların çıkarılmasının desteklendiğine de vurgu yapıyor.
En önemli başarı
Projenin ana yüklenici iş ortağı Enforsec ve Micro Focus desteği ile gerçekleştirilen proje 2021 yılı Ocak ayında başladı. İki faza bölünen projenin birinci fazı 2021 yılı Aralık ayında tamamlandı. DevOps, kalite güvence, bilgi güvenliği, geliştirme ve ofansif güvenlik ekiplerinin görev aldığı projede, yaklaşık 10 kişilik bir ekip projeye dahil oldu. Ayrıca yüzlerce geliştirici de dolaylı olarak projeye katkıda bulundu. DevSecOps çalışmaları ile beraber şirket içerisinde bir kültür değişim sürecinin yaşandığını belirten Ercan, ekiplerin yazılım geliştirme süreçlerinin güvenlik odaklı dönüşümünü sağlamanın emek ve sabır isteyen uzun bir yolculuk olduğunu ifade ediyor. Ancak alınan sonuçların çok başarılı olduğunun da altını çizen Esra Ercan, sözlerini şöyle sürdürüyor: “Gelişen ve hızlı değişen teknoloji dünyasında güvenlik süreçlerinin de dahil edilerek hızlı ve güvenli uygulamaların çıkarılması elde ettiğimiz en önemli başarı oldu.”
Sektöründe öncü firmalardan Turkcell ile gerçekleştirilen proje ile ilgili konuşan Micro Focus CyberRes Bölge Satış Yöneticisi Melek Kaya ise, dijital dönüşüm yolculuklarında müşteriler ve ortaklar için hayatı kolaylaştıracak birçok yenilikçi teknolojiyi bir araya getirip, inovasyonu teşvik ettiklerini belirtirken, geleceğe giden yolda müşterileri için rekabet açısından üstün bir deneyim yaratmanın yolunu açtıklarını söyledi.
