Bir bina yaparken, çizimler ve hesaplamalar için kamu kurumundan onay alınır. Müfettişler ve teknik sorumlular, inşaatın bu onaylı planlara uygun yapılıp yapılmadığını denetler. Bunun nedeni, insan hayatının ve kamu sağlığının korunmasıdır. Bina var oldukça, ek lazım geldiğinde bu çizim ve hesaplara bakılır, bunlara ek gelir ama baz hep oradadır. Hatta bina yıkıldığında da analizler için bu güvenilir yerde saklanan belgelere başvurulur.
Yazılım projelerinde de benzer durumlar yaşanır. Yazılımın bazı kısımları dış şirketlere yani alt yüklenicilere yaptırılır. Bu işler için sözleşmeler yapılır ve kaynak kodunun güvenli bir yerde (escrow) saklanması istenir. Bazıları bu işlemi sadece formalite olarak yapar. Bazıları ise sadece kodu çalıştırıp düzgün çalışıp çalışmadığına bakar. Ancak bu kodun içinde “saatli bomba” denilen, belirli bir zamanda yazılımı durduracak bir kod parçası bile olabilir eğer test etmediyeseniz ki New York’ta böyle bir olay yaşanmıştı. Eğer yazılım, izinsiz üçüncü parti yazılımlar kullanıyorsa veya büyük firmalardan süreli ve ücretsiz alınan alt programlar içeriyorsa ne olur? Tüm bu anlattıklarım gerçek hayatta yaşanmış durumlar.
Hal böyle olunca akılla şu sorular geliyor: Günümüzde, dünya bulut teknolojilerinde ilerlerken büyük şirketler işleyişlerini nasıl kesintisiz sürdürecek? Kötü niyetli kişilere karşı nasıl korunacaklar? “Kurnaz” çocukların oyuncağı olmaktan nasıl kaçınacaklar?
Üçüncü parti paketler ve olası riskler
Bir şirkete özel yazılım yaptırırken veya yazılımın yerelleştirilmesini sağlarken, hangi platformlarda kimin paketlerinin kullanıldığını bilmek ve olası sorunları zamanında engellemek önemlidir. Geçmişte çok büyük büyük bir platform, optimizasyon için kullanılan bilabedel verdiği bir program parçasını aniden kullanımdan kaldırma kararı almıştı. Bu durum, ABD’den alınan bir yazılımın kullanılmaz hale gelme riskiyle karşı karşıya kalmasına neden olmuştu. Size gelen yazılımların içinde kimlere ait hazır paketler var? Veriler nereden nereye nasıl gidiyor? Kim bunları nasıl kontrol ediyor? Dışarıdan alınan bir paketin sahibi iflas ederse, ürünü desteklemekten vazgeçerse veya başka bir firmaya satılırsa ne olur?
Yed-i emin (escrow) sistemiyle çalışmayı kabul eden bir yazılım üreticisi kaynak kodu, analiz ve geliştirme belgeleri, test senaryoları (verileri, sonuçları) kullanılan araçları yed-i emin’e teslim eder. Eder ama anılan belgelerin ve kodun gerçekten kullanılmakta olan veya kullanılacak yazılım olduğunu hangi onay mekanizması doğrulayacak ve güvence altına almıştır? Hangi koşullar altında bu kasa kime açılacaktır?
Tedarikçiler hazır paket çözümler sunmaya devam ettikçe, şirketlerin bu yazılımları kendilerine uygun hale getirme çabaları da sürüyor. ERP yazılımlarında da yerelleştirme her zaman isteniyor ve yed-i emin sistemi bu süreçte önemli bir yer tutuyor. SaaS uygulamaları, yeni tip bir yed-i emin ihtiyacını getiriyor. Şirketler hizmetin sürekliliğini, verilerin kaybolmamasını ve başkalarının eline geçmemesini sağlamak istiyor.
Geleneksel tedarikçilerden yeni oyunculara
Escrow hizmetleri, sipariş üzerine üretilen yazılımların olası risklerini azaltmak için gerekli bir yöntemdir. Ancak değişen dünyada (frameworkler, SaaS, bulut, yapay zeka, makine öğrenimi) saklama ve onay mekanizması nasıl olmalı?
Yapay zeka ve bulut platformları sayesinde doğrulama, kod analizi ve güncelleme işleri otomatikleşiyor, güvenlik sistemleri de gelişiyor. Beklenmedik durumları önceden tahmin eden sistemler uyarılar oluşturmaya başladı.
Geçmişte yed-i emin hizmeti sunan şirketler, fiziksel ve dijital kasa hizmetlerini belgeler ve kaynak kodları için sunarken, yeni dönemde güvenli bulut ortamlarında (özel veya hibrit) hizmetlerine devam ediyorlar. Yapay zeka gelişmeleri bu şirketleri de etkiliyor. Belge işleme, güvenlik, izleme, iş akışı, kod doğrulama gibi alanlarda yapay zekayı kullandıklarını görüyoruz.
Bu arada, yapay zeka odaklı yeni şirketler de pazarda yer edinmeye çalışıyor. Bu şirketlerin geliştirme platformlarında yapılan her geliştirme ve dağıtımın otomatik olarak web ortamında saklanması, uygun fiyatları ve anında geri yükleme özellikleri gibi avantajlarla sunuluyor. Google Cloud Platform, Amazon Web Services, Azure ve GitHub gibi platformları kullananların, bu platformlar üzerinde geliştirilen yazılımlar için saklama ve teyid hizmeti sunan oluşumlar da gözlemleniyor.
Geçmişin bilinen tedarikçileri de SaaS escrow üzerinde kritik veri, yapılandırma ve kopyalama işleri için yatırımlarını artırıyor. Bu şirketlerin önceliklerinden biri de onay mekanizmaları. Yapay zekanın önemi bu noktada daha da artıyor. Erişim kontrolü, şifreleme, fiziksel güvenlik, GDPR, KVKK, ISO gibi düzenlemeler ve uyumluluklar da önemini kaybetmeyen alanlar. Gelecekte, uygulamaların hızlı yazılım döngülerinde sürekli ve otomatik olarak onaylanmış kaynakları yed-i emin kasasına bırakması, üzerinde çalışılan konulardan biri.
Geçmişteki uygulamalardan daha fazla yed-i emin ve onay uygulaması olacak mı?
Tedarikçilerin ambargo, iflas, birleşme ve el değiştirme gibi risklerini düşündüğümüzde, bu alanın giderek daha fazla önem kazanacağı açık. Yapay zeka gelişmeleri birçok işletmenin geride kalmamak için küçük veya büyük oluşumlarla iş yapacağını gösteriyor. Geçmişin şirketleri eski yapılarını yapay zeka ile yeniden pazarlayacaklar ve bunların aniden rekabet dışı kalması diğer şirketlere zarar verecek gibi duruyor. İşlerini buluta taşıyanlar da iş akışlarının orada sürekli olmasını sağlayacak yolları aramalı ve geliştirmeli. Yeni dünyada web servisleri, mikro servisler, üçüncü parti parçalar, frameworkler gibi birçok birbiriyle bağlantılı sistemler bir araya geliyor. Operasyonun sürekliliği, satış süreçlerinin devamlılığı, finansman araçlarının kesintisizliği söz konusu ise yed-i emin ve onay mekanizmasının çalışması gerekli. Sağlık ve finans verileri, fikri mülkiyet (IP), iş sürekliliği daha katı kurallarla yönetilirken, diğer sektörlerde bu kadar önemli olmasa da güvenilir saklama ve onay mekanizması onlar için de gereklidir. Özellikle sınır ötesi alımlar/kullanımlar hem hukuki hem de uyumluluk açısından önemli. Yazılım kodu dışında kritik veri, algoritma, iş akışı, yapılandırma da “dijital varlık” olarak korunmaya muhtaç.
Geliştirdiğiniz veya satın aldığınız yazılımlarda otomatik, akıllı saklama, analiz ve onay mekanizmaları oluşturmaya çalışın. GenAI uygulamaları, kaynak kodunun okunabilirliği, standartlara uygunluğu, olası hatalar, riskler, bağımlılık testleri (API, kütüphane, bulut), kimlere ne gönderip aldığı, statik/dinamik güvenlik testleri, yapılandırma dosyası onayı (.env, XML, .bsh), dokümantasyon üretimi/onayı konularında size yardımcı olabilir. Geçmişte bunlar talep üzerine farklı yazılımlarla yapılabilen eylemlerdi. Yeni dönemde “akıllı sözleşmeler” ile anlaşmaları oluşturabilir, maddeleri onaylayabilir, raporları ve iletişimi otomatikleştirebilirsiniz.
Yed-i emindeki sayısal varlıklarınıza geri almaya gerek duymayan nakdi bol, karı yüksek, verimi fevkalade zamanlarınız olsun.
