Güvenlik , , , ,

Azure DevOps’ta Güvenlik Uyarıları ile İş Öğelerini Bağlamak: Artık Bahane Yok!

⏱️ 5 dk okuma📅 13 Mart 2026

Güvenlik Açıklarını Takipte Sıkça Kaçırılan Detay

Bunu kimse inkar etmesin, güvenlik açığı tespit edilince takımlarda hep benzer bir döngü oluyor (şaşırtıcı ama gerçek). Hani o “Bakarız sonra” yaklaşımı yok mu… İşte her zaman çalışmıyor! Bulduğun açık ister production’ı tehdit etsin, ister ufak bir test case olsun; genellikle backlog’a atıp tozlu çöplüklerin arasına yolluyoruz. Ya da zincir zincir maillere kaydolup duruyor. Çoğu zaman orada unutulup gidiyor zaten. Sonra ne mi? Sprint planında ağlayan ticketlar, sahip çıkmayan kimse. takipte kocaman bir boşluk – başka türlü söyleyemem.

Geçenlerde tam olarak bu başımıza geldi — tamamen gerçek hikaye. Azure DevOps Advanced Security kritik uyarı verdi ama kim hangi bug’ı açtı, neyi üstlenmiş… Herkes kendi notlarında arıyor, tablolarda geziyor, bazen bulamıyor. Düşünsene: Notunu kağıda yazan bile vardı (ne alakaysa). Durun şuna açıklık getireyim:

Hiçbir açık kendini sihirle çözmez; peşine düşmezseniz günün sonunda patlar!

Hani, Peki kurtuluş reçetesi var mı? Lafı dolandırmadan şöyle anlatayım: Azure Boards’daki iş öğelerini artık doğrudan Advanced Security alertlerine bağlayabiliyorsun.

Yeni Gelişme: Security Alert’i Work Item’a Bağlama Gelmiş!

Evet evet – kimsenin iki yıl önce hayal edemediği entegrasyon elinizin altında şu anda. Şayet GitHub Advanced Security for Azure DevOps kullanıyorsanız bitti; herhangi bir alert’i anında Azure Boards içindeki bug’a veya user story’ye doğrudan ilişkilendirmek ~ mümkün! Tabii ters tarafa da olur.

Two people typing on RGB keyboards with code on screens, indicating a cybersecurity environment.
Bulut ortamında modern güvenliğin yolu şeffaflık ve izlenebilirlikten geçiyor dedik ya…

Bence uzun süredir eksikti bu detay. Eski düzende sekmeler arasında mekik dokuyorduk — bak bug’da referans var mıydı diye didik didik aranmak cabası… Şimdi ise şöyle:

  • Alert’e giriyorsun, gözünün önünde “ilgili iş” sekmesi beliriveriyor.
  • Sade; tıklayıp work item seçiyorsun – hop bağladın gitti!
  • Tersinden de oluyor tabii; Board’da issue açarken “İleri Düzey Güvenlik Uyarısı”nı ilişkilendir seçeneği şak diye geliyor.

Bana sorarsan en bomba kısmı şu oldu — hem alert’te hem board’da karşılıklı referans linki çıkarıyor ve tek hareketle öbür tarafa zıplayabiliyorsun! Yani ilişkiler kopmuyor artık arkadaşlar.

Peki Gerçek Dünya İçin Ne Fayda?

Sprint Kabusları Bitiyor Mu?

“Bu alert şimdi kimin derdi?” sorusu havada kalmıyor nihayetinde! Bir kere takım lead olarak sprint board’una baktın mı olay bitiyor — net şekilde açık-hangi issue atanmış görebiliyorsun.

💡 Bilgi: Board üzerinden ekstra yetki falan gerek yok! Olası erişime zaten izin verilmiş durumda linkleyebiliyorsun.

Bunun somut pratik faydalarını listeleyeyim mi?

  • Karmaşa/kaos tarihe karışıyor (“Ya bunu kim üstlenecek?” tribine son).
  • Açığı tekrar bulmaya uğraşmakla vakit harcamıyorsun — tüm bağlantılar karşında net biçimde gösteriliyor.
  • Kritik uyarılar sessizce kaybolma riskini en aza indiriyorsun bence.
  • Müşteri veya auditor gelip “Nerede takip ettiniz?” dediğinde delil sunman bebek işi (Bknz.: “Bu açık burada işte!” gibi cümleler kurmak kolaylaşıyor).

Birkaç Pratik Senaryo (Kendi Tecrübelerim)

Dönüp enterprise müşterilerde hep aynı stresten kaçınıyorum – internal security ile dış pentest ekibi bulgularını yönetmek kabusa dönüşüyor çünkü… Mesela yakınlarda uyguladık:

  • CVE numarası geçen pentest raporundaki alert için anında bug kaydı açıp direkt ilişkilendirdik — hızlı tepkiye bak keyfine!
  • Sprint boyunca kapanmayan ticket otomatik alarm ziline dönüştü… Bu proaktif uyardan inanılmaz kâr ettik açıkçası.
  • Dahası var; ekip içi izin seviyeleri oturduğu için yanlış kişi yanlış alert’in üzerine “el koyamıyor” — kritik fark burada!
Person holding tablet with VPN connection screen for secure internet browsing.
Geliştiriciyle güvenliği tek masada buluşturmanın konforundan bahsetsem az gelir…

Kısıtlar Nerede? Sorunsuz Mu Hâlâ?

Dikkat Edin! Tüm Uyarılara Yaramıyor Maalesef…

Burası mühim nokta — denedikten sonra siz de fark edeceksiniz ki yalnızca Advanced Security (Premium) uyarılarıyla sınırlandırılmış durumda. Build pipeline’daki sıradan security warning çöplerini buna bağlayamazsınız henüz yani… Ufaktan can sıkıcı olabilir ama neyse bakalım geliştirirler belki ileride… Şimdilik böyle diyelim.

Daha Otomatik Olsaydı Fena Mıydı?

Sadece bunu değil – bug’ları SLA bazlı takip ve hatırlatma hâlâ elle ek olacak şeyleri istiyor insan… Otomatik kapanış/reminder sistemi gelmemiş mesela… Eskiden Power Automate ile çaktırmadan otomatize etmeye çalışmıştım (tavsiye eder miyim bilmiyorum), ama native’de yok daha.

Nereden Görülüyor Peki Bu Bağlantılar?

Dürüst olmak gerekirse, Tüm bağlı alertleri repo’da ‘Advanced Security’ tabının altından görebiliyorsunuz arkadaşlar. Evet evet başka yerde gezmeye gerek yok! (inanın bana)

Board’da Gösterge Security Hub’da Gösterge
Work item üzerinde bağlı alert kısa yolu var Alert üzerinde ilgili iş öğesi badge’i bulunur

Detay İpuçlarına Gelelim Mi?

  • Tersine Link Mantığını Unutmayın: Alert üzerinden ya da work item’dan ilişkendirmeniz fark etmiyor – yol çift yönlü çalışıyor 😉
  • Kullanıcı Yetkileri Konusunda Takılmayın Ama Dikkat Edin: Sadece mevcut erişimi olan projelerin üyeleri linklemeyi/görmeyi hak ediyor – yabancı biri öyle pat diye göremez yani (denendi).
  • Sprint Planlamasında Atlanmasın Diye: Kritik/high risk barındıran her open alert mutlaka task olarak tanımlanınca retrospektif nabız kontrolünden önce dashboard’da netleşiyor… Ben toplu tarama toplantısı öncesinde özellikle kontrol etmeye başladım mesela!
  • Boards filtreyi kullan — önemli riske öncelik ver!
  • Eğer work item template’inizde ekstra alan varsa description kısmına mutlaka ilgili Alert ID’sini geçirmenizi öneririm ki haftalar sonra aramak dert olmasın (ben kaç kere unuttum anlatamam).
A person wearing a hacker mask operates a computer in a dimly lit room with digital displays.
Kod-inceleme-güvenlik üçgeni sonunda pratik anlamda tek noktaya toplanabildiği için işler hızlandı valla!

Nihai Sonuç — Güvenliği Akıştan Ayırma Lüksünüz Yok Artık!

Aklımıza kazıya kazıya söylüyorum; teknolojiyi işe uyarlamada planlı entegre siber güvenlik eskisine göre kat kat önemli hale geldi artık! Küçücük startuplar bile yamacındaki deliği sprint içine sokmazsa yarışta geri kalır rahat söyleyeyim — yine tecrübe konuştu 🙂 Modern tehditler hız kesmeden çoğalırken basit gibi gözüken detay iyileştirmeler inanılmaz değer katabiliyor.

Laf lafı açtı kusura bakmayın. Toparlıyorum:

Güvenliği ayrıca yürütemezsiniz; kod akışının doğal rutini içinde tutmalısınız ki hayat kolaylaşsın!

Anahtar nokta bence şu — yeni imkanlara kolay hevesleniyoruz kabul ama bu özellikle gerçek dünya etkisini neredeyse anlık hissettirenlerden olacak.
Sahi sizde hiç kritiklikle ticket oluşturduktan sonra follow up’u ölü toprağa bırakan var mı 😅?

Kabul edin olmuşsunuzdur.

Daha fazlasına göz atmak isterseniz:

Kaynak niteliğinde merak edenlere:
Work item linking for Advanced Security alerts now available

İçeriği paylaş:

İlgili Yazılar

Etiket

Yorum gönder

A.KILIÇ

Microsoft Azure & Office 365 Çözüm Uzmanı | Logosoft Bilişim'de Azure Danışmanı. 20+ yıl BT deneyimi, 6+ Azure sertifikası (AZ-305, AZ-104, AZ-500, AZ-400). Kurumsal bulut göçleri, güvenlik mimarisi, FinOps ve DevOps dönüşümü konularında stratejik danışmanlık sunuyorum. Bu blogda Azure, yapay zeka, Kubernetes ve modern bulut teknolojileri hakkında güncel içerikler paylaşıyorum.

view all posts

İlginizi Çekebilir

Sizin İçin Derledik