GitHub Code Quality Faturası: Lisans Tahmini Preview’da
Kendi deneyimimden konuşuyorum, Geçen hafta bir müşterinin GitHub Enterprise faturasına bakıyorduk, tam o sırada aklıma takıldı: “20 Temmuz 2026’da Code Quality ücretli hâle gelecek, sizin repo’lardaki committer sayısını hesapladınız mı?” diye sordum. Bir sessizlik öldü. Kimse dönüp bakmamıştı; açık konuşayım, preview döneminde ücretsiz olunca çoğu ekip özelliği açıp bırakıyor, sonra da konu rafta kalıyor.
Size bir şey söyleyeyim, İşte burada GitHub yeni bir şey duyurdu: Code Quality license estimate (yanlış duymadınız). Yanı fatura gelmeden önce, “açtığın şey sana ne kadara patlayacak” diye kaba bir resim veren tahmin ekranı. Kağıt üstünde ufak bir detay gibi dürüyor. Pratikte — özellikle repo sayısı artmış enterprise ortamlarda — baya iş görüyor. Evet, bazen tek satır bile bütçe tarafında olay çıkarıyor.
Vallahi, Şimdi durun. Önce bunu yerine oturtalım.
Code Quality Nedir, Neden Konuşuyoruz?
GitHub Code Quality, aslında CodeQL motorunu ve statik analiz altyapısını kullanarak kod kalitesi metriklerini (karmaşıklık, sürdürülebilirlik, kod kokusu vs.) çıkaran bir ürün. Advanced Security’nın kardeşi diyebiliriz — biri güvenlik açıklarına bakıyor, öteki kalitesizliğe. Aynı motor, farklı gözlük.
Şu an public preview’da olduğu için ücretsiz kullanılıyor. Ama GitHub açıkça (söylemesi ayıp) söyledi: 20 Temmuz 2026‘dan itibaren aktif committer başına aylık 10 dolar olacak. Yanı bir repo’ya kod pushlayan her geliştirici — kaç repo’da olursa olsun o organizasyonda tek sayılır — 10 dolar demek.
10 dolar kulağa az geliyor değil mi? Küçük bir startup için gerçekten öyle. Ama gelin 300 kişilik bir dev ekibi hayal edelim; aylık 3.000 dolar, yıllık 36.000 dolar ediyor, buna Advanced Security’yi, Copilot’u. Actions dakikalarını da ekleyince iş değişiyor, GitHub faturası artık “IT giderleri arasında bir kalem” olmaktan çıkıp ciddi bir bütçe kalemine dönüşüyor.
Peki bu tahmin aracı tam olarak ne yapıyor?
Şahsen, Basitçe: Enterprise hesabınızın Billing sayfasına giriyorsunuz, Licensing sekmesini açıyorsunuz. Orada “Code Quality” kartını görüyorsunuz. Kart size iki şey söylüyor:
- Şu an kaç consumed license var — yanı kaç committer sayılıyor
- GA sonrası tahmini aylık ödeme — liste fiyatı üzerinden hesaplanmış
Yanı daha faturaya yansımadan “acaba ne kadar tutacak” diye bakabiliyorsunuz. Fena değil. Bence burada asıl iyi taraf şu: plan (belki yanılıyorum ama) yapmayı kolaylaştırıyor; (bizzat test ettim). Dur bir saniye — aynı zamanda bazı ekiplerde gereksiz panik de yaratabilir, çünkü rakamı ilk gördüğünüzde insanın kaşı hafif kalkıyor.
Neyse uzatmayalım; bu araç bana göre GitHub’ın son dönemde attığı en yerinde adımlardan biri. Sız ne dersiniz? Evet.
Neden Bu Kadar Önemli? FinOps Perspektifi
Ben Azure tarafında yıllardır FinOps danışmanlığı yapıyorum. En sık gördüğüm senaryo şu: ekipler yeni bir servisi “preview” ya da “free tier” diye açıyor, sonra da unutuyor. Bir gün fatura geliyor, rakamlar bir anda şişiyor, ardından CFO’nun odasında o meşhur soru başlıyor: “Bunu kim açtı?” Hepimiz bu filmi izledik.
GitHub burada açıkçası fena davranmamış. GA’ya 8-9 ay kala tahmin aracını çıkarmış, yanı ekiplere daha baştan “hazırlanın” diyor; yoksa 20 Temmuz geldiğinde küçük bir sürpriz değil, baya can sıkan bir tablo çıkabiliyor (özellikle de kimse kullanım tarafını takip etmiyorsa). Bu tam olarak predictable cost management kafası, Azure’da Cost Management + Billing ne yapıyorsa, AWS tarafında Cost Explorer neye yarıyorsa GitHub da burada ona doğru yürümeye başlıyor.
Bulut maliyet yönetiminde en pahalı sürprizler, “ücretsiz preview” etiketi taşıyanlardan çıkar. Çünkü kimse onları izlemez. Şimdi izlemek için bir sebep var.
Tahmin neyi kapsamıyor?
Burası önemli. Duyuruda yazıyor ama insan bazen gözden kaçırıyor, şey gibi geliyor ama aslında öyle değil. Tahmin eder mısınız? Tahmin sadece committer lisans maliyetini gösteriyor; yanı işin çekirdek kısmını veriyor ama etrafındaki masrafı göstermiyor (ve orası bazen asıl can yakıyor).
- GitHub Actions dakikaları — CodeQL analizi Actions üzerinde çalışıyor, dakika yiyor (bu kritik)
- Copilot Autofix gibi AI destekli özelliklerin usage-based ücretleri
- Enterprise anlaşmanıza özel indirimler — liste fiyatı üzerinden hesaplıyor
Yanı “aylık tahmin 3.000 dolar” görürseniz, ben olsam bunun üstüne bir de +%20-40 civarı Actions dakikası koyup düşünürüm; kabaca böyle bakmak daha güvenli oluyor. Tabiî bu oran sabit değil, repo sayısı artınca başka yere gidiyor, dil çeşitliliği değişince başka yere kayıyor, PR trafiği hızlanınca da tablo biraz dağılıyor.
Durun, bir saniye.
Evet.
İşte, peki neden?
Türkiye’deki Şirketler İçin Ne Anlama Geliyor?
Açık konuşayım, Türkiye’de GitHub Enterprise kullanan şirket sayısı sanılandan az. Çoğu ekip hâlâ Team planında ya da GitLab self-hosted üzerinde takılıyor. Ama son 2-3 yılda tablo biraz değişti; özellikle fintech, e-ticaret ve savunma sanayii tarafında Enterprise Cloud’a geçişler hızlandı, yanı iş artık yavaş yavaş başka bir yere kayıyor.
Şimdi burada klasik dolar-TL mevzusu var. 10 dolar/committer/ay dediğimizde, güncel kurla yaklaşık 400 TL civarı ediyor. 100 kişilik bir mühendislik ekibinde bu, ayda 40.000 TL yapıyor; yılda da yarım milyon TL’yi buluyor, sadece “Code Quality” için. Advanced Security de açıksa, üstüne Copilot Business varsa, toplam fatura bir orta seviye mühendisin maaşına yaklaşabiliyor. Evet, rakam öyle dürüyor.
E tabi soru şu: Bu para gerçekten karşılığını veriyor mu? Alternatiflere bakınca (SonarQube self-hosted, Semgrep, Codacy) cevap biraz “duruma göre” çıkıyor. Eğer zaten CodeQL kullanıyorsanız. Advanced Security ekosistemine yatırım yaptıysanız, Code Quality’nın entegre gelmesi baya iş görüyor. Ama sıfırdan yeni bir kalite aracı arıyorsanız, SonarQube Community Edition ile başlayıp sonra geçmek daha mantıklı olabilir. Peki, peki neden? Çünkü bazen ilk adımda fazla para yakmaya gerek olmuyor.
Küçük Ekip mi, Enterprise mı? Karar Matrisi
| Senaryo | Öneri |
|---|---|
| 5-15 kişilik startup, GitHub Team | Code Quality dene, GA sonrası aylık 50-150$ katlanılır |
| 50-200 dev, Enterprise Cloud | Tahmin aracıyla önce hesapla, bütçe onayı al |
| 500+ dev, çoklu org | Sales ile ent. discount müzakeresi yap, pilot org seç |
| GitHub Enterprise Server (self-hosted) | Zaten desteklenmiyor — Cloud’a taşınmadan konu kapalı |
Bu arada son satır önemli. GitHub Enterprise Server (kendi sunucunuzda çalıştırdığınız versiyon) için Code Quality henüz yok. Maalesef durum bu. Bu da bilinçli bir yönlendirme gibi dürüyor; GitHub on-prem tarafını biraz geri plana atıp Cloud’a doğru itiyor gibi geliyor bana. Tam da öyle.
Tahmini Nasıl Okumalıyız? Pratik Rehber
Diyelim Billing sayfasına girdiniz, Code Quality kartında “127 consumed licenses, estimated $1,270/month” yazıyor. İlk bakışta insanın aklına direkt şu geliyor: Bu rakam gerçek mi, yoksa biraz şişmiş mi? İşte burada panik yok; önce committer sayısının nasıl oluştuğuna bakmak lazım, çünkü sayı tek başına pek bir şey anlatmıyor.
- Committer listesini indirin. Bu 127 kişinin kim olduğunu görün. Aktif çalışan mı, ayrılan biri mi, external contributor mı? Kimi zaman listeye bakınca yarım gün içinde çözülüyor mesele, bazen de iş iyice dallanıp budaklanıyor.
- Repo bazında filtreleyin. Code Quality hangi repolarda açık? Hepsinde ihtiyaç var mı, yoksa sadece production kod tabanında yeterli mi? Bak şimdi, her repo’ya aynı muameleyi yapmak kolay geliyor ama çoğu senaryoda gereksiz masraf çıkarıyor.
- Değeri ölçün. Preview süresince Code Quality kaç bug/kod kokusu yakaladı? PR’larda kaç yorum düşürdü? Bu somut değer, 10 dolar/kişi maliyetine değiyor mu? Açık konuşayım, bazen birkaç kritik yakalama bütün tabloyu değiştiriyor; bazen de sessiz sedasız geçip gidiyor.
- Actions maliyetini ekleyin. Repo başına aylık CodeQL analizinin kaç dakika sürdüğüne bakın. Actions faturasını da hesaba katın. Çünkü lisans tarafı bir şey söylüyor, workflow tarafı başka bir şey fısıldıyor; ikisini birlikte görmeden resim tamamlanmıyor.
- Bir “kill switch” planı yapın. GA’ya 1 hafta kala hâlâ değer görmüyorsanız, hangi orgları/repoları kapatacağınıza şimdiden karar verin. Evet, biraz sert dürüyor ama sonradan koşturmak yerine önceden net olmak daha az can yakıyor.
Ha bu arada, committer sayısı organizasyon bazında tekilleştirilir. Yanı bir developer 30 farklı repo’ya kod pushluyorsa yine 1 committer sayılır. Bu iyi haber. Ama farklı org’lardaysa her org için ayrı sayılır — bu da genelde gözden kaçan detay. Tam da burada çoğu kişi yanlış hesap yapıyor; sayı küçük sanılıyor ama faturaya gelince sürpriz çıkabiliyor.
İşte, peki neden?
Çünkü preview döneminde görünen tahmin ile gerçek kullanım aynı şey değil. Bir tarafta aktif katkı yapanlar var, diğer tarafta arada sırada dokunanlar; üstüne bir de org sınırları girince tablo biraz karışıyor (özellikle büyük yapılarda), o yüzden sayaç ekranına bakıp hemen karar vermek pek iyi fikir olmuyor.
Neyse uzatmayalım: önce kimin sayıldığını bulun, sonra nerede kullanıldığını daraltın, en sonda da ortaya çıkan faydayı maliyetle yan yana koyun. Böyle bakınca tahmin, havadan gelen bir rakam olmaktan çıkıp baya işe yarayan bir karar aracına dönüşüyor.
CodeQL, Code Quality, Advanced Security: Kim Ne Yapıyor?
Bu üçlü son dönemde baya karışıyor, ben de birkaç toplantıda aynı soruyu duydum. Kısaca ayıralım; çünkü işin aslı, isimler benziyor diye hepsi aynı şey sanılıyor, ama değil.
CodeQL
Motor bu. Statik analiz yapan bir sorgu dili var, üstünde de engine çalışıyor. Güvenlik tarafında da kullanıyorsunuz, kalite tarafında da; açık kaynak sorgular hazır geliyor, isterseniz kendi sorgunuzu da yazıyorsunuz. CodeQL 2.26.0: Kotlin 2.4 Desteği ve AI Prompt Injection Taraması yazımda son sürüm tarafını konuşmuştuk, orada da bazı detaylar insanı şaşırtıyor açıkçası.
GitHub Advanced Security (GHAS)
Burada CodeQL’i güvenlik odağında paketli hâlde kullanıyorsunuz. Secret scanning var, dependency review var, code scanning var;. Güvenlikte lazım olan parçalar bir araya toplanmış durumda. Bu da committer başına ücretli, ayrı bir lisans gibi düşünün.
Code Quality (yeni ürün)
Bu sefer CodeQL’i kalite için kullanıyorlar. Cognitive complexity, maintainability, code smell tespiti gibi metrikler burada devreye giriyor; ilk bakışta basit dürüyor ama pratikte baya iş görüyor. GHAS’tan ayrı fiyatlandırılıyor, önü da kenara not etmek lazım.
Bence, Yanı ikisini de aktif kullanıyorsanız, committer başına yaklaşık 20+ dolar/ay ödüyorsunuz demektir. Peki neden? Çünkü biri güvenlik paketi, diğeri kalite paketi; fiyat kalemi ayrı olunca bütçe planında insanın gözünden kaçabiliyor.
Sahada Karşılaşılan Yaygın Hata: “Preview Amnezisi”
Kurumsal ekiplerde en sık gördüğüm mevzu şu: Bir mühendislik lideri Code Quality’yi organizasyon settings’inden global açıyor, sonra da “Hadi bakalım, ücretsizken görelim” diye düşünüyor. Evet, ilk bakışta mantıklı dürüyor. Ama 6 ay geçince işler değişiyor; kimse metriklere dönüp bakmıyor, PR’larda çıkan Code Quality yorumları da gürültü diye geçilip ignore ediliyor, ardından GA geliyor ve fatura patlıyor (sonra üst yönetim de haklı olarak “bu değer üretmiyorsa neden ödüyoruz?” diye soruyor).
Çözüm aslında basit. Ölçün. Preview süresinde bile bir “quality dashboard” kurun; hatta kurun derken öyle sadece açıp bırakmayın, gerçekten takip edin. Aylık olarak şunlara bakın:
- Code Quality tarafından bildirilen kaç issue kapatıldı?
- PR’lardaki Code Quality yorumları developer’lar tarafından uygulandı mı?
- Kod tabanının cognitive complexity trendi düşüyor mu?
Eğer bu üç soruya rahatça “evet” diyemiyorsanız, sorun aracın kendisi olmayabilir — açık konuşayım, sizin süreç henüz Code Quality’yi absorbe edecek kadar oturmamış olabilir. Peki ne yapmalı? Böyle bir durumda GA öncesi kapatıp önce süreç kurulumunu yapmak daha akıllıca geliyor bana.
Bütçe Kısıtlıysa Alternatifler
Şunu söyleyeyim, Diyelim ekip küçük, bütçe dar, ama kod kalitesini de ciddiye alıyorsunuz. Peki ne yapacaksınız? İşte burada iş biraz kıvrılıyor; çünkü pahalı araçlara abanmak yerine, önce elinizdeki akışı doğru kurup sonra gerçekten neye para verdiğinize bakmak gerekiyor.
Peki neden?
# Örnek: SonarCloud + GitHub Actions ücretsiz açık kaynak için
name: SonarCloud
on: [push, pull_request]
jobs:
sonarcloud:
runs-on: ubuntu-latest
steps:
— uses: actions/checkout@v4
with:
fetch-depth: 0
— uses: SonarSource/sonarcloud-github-action@master
env:
GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
SONAR_TOKEN: ${{ secrets.SONAR_TOKEN }}
SonarCloud açık kaynak repolar için ücretsiz geliyor, bu kısmı baya iş görüyor. Kapalı kaynak tarafta da fiyat bazen insanı şaşırtıyor (LOC bazlı model yüzünden),. Ilk bakışta pahalı sandığınız şey aslında daha hesaplı çıkabiliyor; tabiî her projede aynı tabloyu görmüyorsunuz. Semgrep de ayrı bir köşede dürüyor, özellikle güvenlik odaklı sorgularda hafif çalışıyor ve hızlı dönüyor.
Ha bir de şunu söyleyeyim: Sadece kaliteyi değil, bütün CI/CD hattını da sıkıştırmak istiyorsanız, Azure Pipelines Task Extension’ı esbuild ile Küçültmek yazısında pipeline tarafında maliyeti nasıl aşağı çekebileceğinize dair somut bir örnek vardı. Oraya da göz atın derim; çünkü bazen mesele araç seçimi değil, hattın kendisindeki gereksiz şişkinliği ayıklamak oluyor — bence çok yerinde bir karar —. Evet.
Benim Kişisel Görüşüm
Bence bu tahmin aracı fena değil, hatta doğru tarafa basıyor. Ama bir eksik var: Value-based reporting. Yanı sana aylık 3.000 dolara mal olacak diyorsun, tamam, güzel; ama ardından şu kadar issue yakaladık, şu kadar teknik borcu da daha baştan önledik diyebilen bir rapor lazım. Şu an elinde sadece “kaç kişi, kaça patlar” bilgisi var. Bu FinOps’un 101’i, ama BusinessOps tarafı biraz boş kalıyor.
Tuhaf ama, Umarım GA’ya kadar bu kısmı da toparlarlar. Yoksa CFO’nun karşısına geçip “bu ürüne yılda 500.000 TL harcayalım” dediğinde, elinde sadece committer sayısı kalıyor, ROI hesabı yok. Hani işin aslı şu: kurumsal satın alma süreçlerinde en zayıf yerde yakalanıyorsun. Evet.
Bir de küçük bir hayal kırıklığı var. Enterprise Server tarafında hâlâ yok. Türkiye’de savunma sanayii, kamu. Bankacılık gibi sektörlerde on-prem GitHub kullanan ekipler için bu ürün şu an masada değil; biraz can sıkıcı, çünkü bu ekipler genelde buluta hemen çıkamıyor (regülasyon, iç politika, güvenlik kaygıları derken iş uzuyor) ve alternatif de çok parlak görünmüyor. Bu ekipler için CodeQL Community Edition + kendi custom kuralları hâlâ tek seçenek gibi dürüyor.
Bakın, burayı atlarsanız yazının kalanı anlamsız kalır.
Sıkça Sorulan Sorular
Code Quality preview’dayken para çıkıyor mu?
Çıkmıyor. 20 Temmuz 2026’ya kadar büyük ölçüde bedava. Tahmin aracı aslında sadece GA sonrasında ne ödeyeceğini göstermek için orada — şu an gerçek bir fatura gelmiyor yanı.
Active committer tam olarak ne oluyor?
Hani son 90 gün içinde Code Quality aktif olan bir repo’ya en az bir commit pushlayan GitHub kullanıcısı. Mesela aynı developer 20 repo’ya commit atmışsa bile 1 committer sayılıyor — tabiî aynı organizasyondaysa. Farklı orgs’larda işe ayrı ayrı sayılıyor.
Advanced Security lisansım var, Code Quality de geliyor mu içinde?
Maalesef hayır, ayrı ürün ve ayrı fiyatlandırma. İkisi de CodeQL motorunu kullanıyor ama amaçları farklı — GHAS güvenlik odaklı, Code Quality işe kalite odaklı. Bence bu ayrımı net tutmak önemli.
GitHub Enterprise Server’a ne zaman geliyor?
Açıkçası şu an kesin bir tarih verilmiyor. Tecrübeme göre GitHub’ın son 2-3 yıldaki pattern’ine bakınca, Cloud’da GA’dan sonra 6-12 ay içinde Server’a inebilir. Ama garantisi yok tabiî.
Tahmini nasıl düşürebilirim?
Bakın, Aslında üç yol var: (1) Code Quality’yi gerekmediği repolarda kapatın, (2) inactive veya dış katkıcıları temizleyin, (3) enterprise sales ile hacim indirimi için pazarlık yapın. Bence 3. yol 200+ committer’ın üstünde ciddi ciddi anlam kazanmaya başlıyor (evet, doğru duydunuz)
Kaynaklar ve İleri Okuma
GitHub Code Quality license estimate in public preview — GitHub Blog
Küçük bir detay: Enabling Code Quality — GitHub Docs
Vallahi, GitHub Billing and Licensing Documentation (ki bu çoğu kişinin gözünden kaçıyor)
GitHub Community Discussions — Feedback için
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.









Yorum gönder