SecureCodingHub'da Güvenlik

Beklemedeki tüm veriler AES-256 şifreleme ile şifrelenir. Veritabanı birimleri, yedekler ve dosya depolama; özel bir anahtar yönetim hizmeti aracılığıyla yönetilen anahtarlarla şifrelenmektedir.

İstemciler ile sunucularımız arasındaki tüm iletişim TLS 1.3 kullanır. Tüm uç noktalarda HSTS başlıkları ve sertifika şeffaflığı izlemesiyle HTTPS'i zorunlu kılarız.

Müşteri verileri uygulama katmanında mantıksal olarak izole edilir. Her kuruluşun verileri sıkı erişim kontrolleriyle ayrıştırılır; kiracılar arası veri sızıntısı önlenir.

Kurumsal müşteriler, SAML 2.0 tek oturum açma ile kendi kimlik sağlayıcılarını entegre edebilir. Azure AD, Okta ve OneLogin dahil tüm büyük IdP'leri destekliyoruz.

MFA desteği, kullanıcı hesaplarına ek bir güvenlik katmanı ekler. İkinci faktör doğrulaması için TOTP tabanlı kimlik doğrulayıcı uygulamaları destekliyoruz.

Oturumlar; kısa ömürlü belirteçler, otomatik sona erme ve iptal yetenekleri ile kriptografik olarak güvenceye alınır. Etkin olmayan oturumlar, yapılandırılabilir bir zaman aşımı süresinden sonra sonlandırılır.

Altyapımız ve uygulamamız için düzenli olarak üçüncü taraf sızma testleri yürütüyoruz. Bulgular önceliklendirilir ve önem düzeyine göre giderilir.

CI/CD hattımız otomatik bağımlılık taraması ve yazılım bileşim analizi içerir. Üçüncü taraf kütüphanelerdeki bilinen zafiyetler işaretlenir ve hızla ele alınır.

Güvenlik araştırmacıları için bir sorumlu açıklama programı sürdürüyoruz. Bir zafiyet keşfederseniz lütfen bize bildirin; çözümü için sizinle birlikte çalışırız.

Yalnızca hizmetlerimizi sunmak için gerekli verileri topluyoruz. Gereksiz kişisel bilgi toplamıyor ve kullanıcı verilerini üçüncü taraflara satmıyoruz.

Veriler yalnızca toplandıkları amacın yerine getirilmesi için gereken süre boyunca saklanır. Veriye artık ihtiyaç duyulmadığında güvenli biçimde silinir veya anonimleştirilir.

Kullanıcılar istedikleri zaman hesaplarının ve ilgili verilerinin silinmesini talep edebilir. Silme taleplerini hızla işliyor ve tamamlandığını 30 gün içinde teyit ediyoruz.

Üretime giden her değişiklik; yazarın yakın çalışma çiftinin dışındaki en az bir mühendis tarafından yapılan pull request incelemesinden geçer. CI her push'ta birim, entegrasyon ve güvenlik kontrollerini çalıştırır. Üretim dağıtımları ayrı bir onay adımından geçer. Acil değişiklikler, aynı hafta retrospektif inceleme yapılan belgelenmiş bir acil durum prosedürünü takip eder. Altyapı değişiklikleri kod olarak yönetilir ve uygulama kodu ile aynı iş akışı altında incelenir.

Yazılım bileşim analizi her pull request'te ve gece zamanlamasıyla ana dalda yeniden çalışır. Kritik ve yüksek önemdeki uyarılar; hedef giderim süresi hafta değil gün cinsinden ölçülen bir uyarıyı nöbetçi mühendise tetikler. Orta ve düşük önemdeki uyarılar haftalık incelemede toplu olarak ele alınır. Konteyner taban görüntüleri sabit bir sıklıkta yeniden oluşturulur; böylece geçişli işletim sistemi yamaları uygulama değişikliği gerektirmeden üretime ulaşır.

Olay müdahale planımız; dört önem düzeyini, eskalasyon yollarını ve her olay için tek bir hesap verebilirlik noktasını tanımlar. İlk müdahale eden; kontrol altına alma ve müşteri iletişiminden sorumluyken, ayrı bir araştırmacı teknik izi inceler. Olay sonrası incelemeler suçlamasızdır ve takibi yapılan eylem maddeleriyle yazılı bir kayıt üretir. Plan; gerçek bir olaydan önce kas hafızasının var olması için en az yılda iki kez senaryolu tatbikatlarla provası yapılır.

Güvenlik ekibiniz sözleşmeli bir sızma testi, dahili inceleme veya ürünün rutin kullanımı sırasında bir şey bulursa, bunu önce kamuya açık biçimde tartışmak yerine doğrudan güvenlik ekibimize bildirin. İki iş günü içinde onaylar, takip numarası paylaşır ve sorun kapatılana kadar durum güncellemeleri sağlarız. Koordineli açıklamayı bir ortaklık olarak görürüz.

Müşteri yöneticileri kendi kiracıları içinde rol atamasını denetler. Önerdiğimiz ilke, kendi içimizde uyguladığımız ilkenin aynısıdır: bir kullanıcının işini yapmasına olanak veren en dar rolü atayın ve atamaları düzenli aralıklarla gözden geçirin. Özellikle yönetici erişimi küçük, adlandırılmış bir gruba sınırlandırılmalı ve insanlar kuruluşunuz içinde rol değiştirdikçe bu grup denetlenmelidir.

Bir kişi kuruluşunuzdan ayrıldığında, kimlik sağlayıcınızda devre dışı bırakılması SCIM aracılığıyla platformdaki erişimin kaldırılmasını tetiklemelidir. Otuz koltuğun üzerindeki tüm kuruluşlar için manuel kullanıcı yönetimi yerine SCIM tabanlı sağlamayı şiddetle öneririz. SCIM'i bugün benimseyemiyorsanız, adlandırılmış bir sahibe sahip hesap düzeyinde işten ayrılma kontrol listesi en iyi ikinci kontroldür.

Platform erişilebilirliğini ve hizmet bozulmalarını kapsayan bir durum sayfası. Bir alt işleyenler listesi. Mevcut veri işleme eki. Bu güvenlik sayfasının kendisi. SOC 2 Type II tamamlandığında, rapor hesap iletişim kişiniz aracılığıyla talep üzerine NDA altında sunulacaktır. Müşterileri etkileyen önemli politika güncellemeleri, bir changelog'a gömülmek yerine hesap iletişim kişiniz aracılığıyla duyurulur.

Dahili ağ mimarisi diyagramları, ayrıntılı kimlik doğrulama akışları, güvenlik ekibimizin kullandığı belirli araçlar, tek tek anahtar düzeyindeki anahtar rotasyon takvimleri ve güvenlik ekibindeki personelin adları ve rolleri. Bunların herhangi biri, konuşma gerektirdiğinde — örneğin tedarik liderliğindeki bir güvenlik incelemesi sırasında — NDA altında incelenebilir; ancak halka açık bir sayfada yer almazlar. Bunların yayımlanması, herhangi bir müşteriye gerçek bir fayda sağlamadan hedefli bir saldırının maliyetini düşürür.