CI/CD İş Akışlarına Yapay Zeka Destekli Uyumluluk Entegrasyonu

Bugünün hiper‑rekabetçi SaaS ortamında hız ve güven artık ayrı hedefler değil—birlikte var olmalı. Geliştirme ekipleri günü içinde birden fazla kez kod yayınlarken, güvenlik ve uyumluluk ekiplerinden her büyük sürümden sonra kapsamlı denetim belgeleri üretmeleri isteniyor. Bu sürtüşme darboğazlar yaratıyor, anlaşmaları geciktiriyor ve uyumsuzluk riskini artırıyor.

Procurize, güvenlik anketlerini, politika belgelerini ve uyumluluk kanıtlarını merkezi hâle getiren yapay zeka‑güdümlü platform. Birçok müşteri zaten Procurize’i dış denetimlere otomatik yanıt vermek için kullanıyor, ancak yeni bir sınır ortaya çıkıyor: bu otomasyonu doğrudan CI/CD (Sürekli Entegrasyon / Sürekli Dağıtım) boru hatlarınıza gömmek. Uyumluluğu kod olarak ele alıp gerçek zamanlı yapay zeka desteğinden yararlanarak organizasyonlar sürekli güvenlik güvencesi elde edebilir—tıpkı sürekli teslimatı zaten başardıkları gibi.

Bu makale, uyumluluk otomasyonunun CI/CD içine entegrasyonunun neden önemli olduğunu açıklıyor, bunu mümkün kılan mimari desenleri sunuyor ve kod parçacıklarıyla adım‑adım bir uygulama rehberi sağlıyor. DevSecOps lideri, CISO veya ürün yöneticisi olun, uyumluluğu sürüm sonrası kontrol listesinden her daim açık bir kısıtlama haline getirmek için pratik bir yol haritası elde edeceksiniz.

Neden Geleneksel Uyumluluk Bir Darboğazdır

Geleneksel Yaklaşım	Yapay Zeka‑Entegre CI/CD
Sürüm sonrasında manuel anket doldurma	Derleme zamanında otomatik, politika‑tabanlı yanıtlar
Merkezi depo güncellemeleri üç ayda bir	Gerçek zamanlı politika güncellemeleri anında yayılır
Denetçiler, sürümden haftalar sonra kanıt talep eder	Kanıtlar her derleme varlığına eklenir
Uyumluluk ekibi geçiş noktasını tutar, teslimatı yavaşlatır	Uyumluluk, boru hatına gömülmüş ortak sorumluluktur

Temel sıkıntılar:

Gecikme – Güvenlik kanıtları genellikle sürümden haftalar sonra üretilir, gerileme riski artar.
İnsan hatası – Politika yanıtlarının manuel kopyalanması tutarsızlıklara yol açar.
Çiftleme – Takımlar, denetimler için ayrı, iç kullanım için ayrı politika belgeleri tutar.
Görünürlük eksikliği – Mühendisler genellikle uyumluluk durumunu bir denetim talebi ortaya çıkana kadar görmez.

Uyumluluğu CI/CD akışına taşıyarak bu sorunları hafifletir, uyumluluğu öngörülebilir, veri‑odaklı bir fonksiyon haline getirirsiniz.

Temel Kavramlar: Kod Olarak Politika, Yapay Zeka‑Oluşturulan Yanıtlar ve Kanıtlar Olarak Varlıklar

Kod Olarak Politika – Güvenlik politikalarınızı (ör. SOC 2, ISO 27001, GDPR vb.) bir sürüm‑kontroll deposunda (Git gibi) saklayın. Her politika, araçların ayrıştırabileceği makine‑okunabilir bir biçimde (YAML/JSON) ifade edilir.
Yapay Zeka‑Oluşturulan Yanıtlar – Procurize’in büyük‑dil‑modeli (LLM) politika tanımlarını alır ve anket öğelerine yönelik özlü, denetime hazır yanıtları otomatik üretir. Yapay zeka ayrıca güven puanları sağlar; düşük puanlı yanıtlar insan incelemesi gerektirir.
Kanıt Varlıkları – Derleme sırasında, boru hattı değişmez kanıtlar üretir (ör. yapılandırma anlık görüntüleri, erişim günlükleri, test raporları). Procurize bu kanıtları yanıtlarla ilişkilendirerek denetçiler için tek bir gerçek kaynağı oluşturur.

Bu üç katman birlikte bir sürekli uyumluluk geribildirim döngüsü oluşturur:

git push → CI boru hattı → AI yanıt üretimi → Kanıt ekleme → Uyumluluk panosu güncellemesi

Mimari Şema

Aşağıda bileşenlerin nasıl etkileşime girdiğini gösteren yüksek‑seviye bir şema bulunuyor. Şema, makalenin taşınabilirliğini korumak amacıyla pseudo‑grafik bir kod bloğu içinde sunulmuştur.

  graph LR
    A[Geliştirici kod gönderir] --> B["CI Sunucusu (Jenkins/GitHub Actions)"]
    B --> C["Politika Deposu (Git)"]
    B --> D["Derleme & Test Aşaması"]
    D --> E["Kanıt Varlıklarını Oluştur"]
    C --> F["Procurize Politika Motoru (API)"]
    E --> G["Procurize AI Yanıt Servisi (API)"]
    F --> G
    G --> H[Uyumluluk Metaveri Deposu]
    H --> I[Uyumluluk Panosu / Denetçiler]
    style A fill:#f9f,stroke:#333,stroke-width:2px
    style I fill:#bbf,stroke:#333,stroke-width:2px

Bileşenler:

Politika Deposu – policies/ klasöründeki politika tanımlarını içeren merkezi Git deposu.
CI Sunucusu – Derleme, test ve uyumluluk adımlarını çalıştırır.
Kanıt Oluşturucu – evidence/aws-iam.json gibi JSON/YAML kanıtları üreten betikler.
Procurize API – İki uç nokta:
- /policies – En son politika setini yüklemek veya almak.
- /answers – Kanıtları gönderip AI‑oluşturulan anket yanıtlarını almak.
Uyumluluk Metaveri Deposu – Her derlemenin uyumluluk durumunu kaydeden hafif bir veri tabanı (ör. DynamoDB).
Pano – Mevcut Procurize UI veya özel bir görünüm; sürüm bazlı uyumluluğu gösterir.

Adım‑Adım Uygulama Kılavuzu

1. Politika Deposunu Hazırlayın

Tüm uyumluluk çerçevelerinizi YAML dosyaları olarak bir Git deposunda (veya alt‑modül) saklayın.

# policies/soc2.yaml
framework: SOC 2
controls:
  - id: CC6.1
    description: "Verilerin dinlenme halinde şifrelenmesi"
    requirement: "Üretim verileri AES‑256 ile şifrelenmelidir."
    evidence_type: "Şifreleme Yapılandırması"
  - id: CC6.2
    description: "Verilerin aktarımda şifrelenmesi"
    requirement: "Tüm dış iletişimde TLS 1.2+ kullanılmalıdır."
    evidence_type: "TLS Yapılandırması"

Depoyu commit edin ve main dalını koruyun; sadece uyumluluk ekibi değişiklik birleştirebilir. Geliştiriciler, pipeline’da en son politikaları çekerek çalışır.

2. CI Aşamasına Kanıt Toplama Ekleyin

GitHub Actions örneği (diğer CI araçları için benzer).

name: CI
on:
  push:
    branches: [main]

jobs:
  build-and-test:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3
      - name: Unit testlerini çalıştır
        run: npm test

  collect-evidence:
    needs: build-and-test
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3
      - name: AWS IAM politika anlık görüntüsünü dışa aktar
        run: |
          aws iam get-account-authorization-details > evidence/aws-iam.json          
      - name: TLS yapılandırmasını dışa aktar
        run: |
          grep -i 'tls' /etc/nginx/nginx.conf > evidence/tls-config.txt          
      - name: Kanıtı artefakt olarak yükle
        uses: actions/upload-artifact@v3
        with:
          name: compliance-evidence
          path: evidence/

Bu iş, evidence/ klasöründe JSON ya da metin dosyaları oluşturur; politikadaki evidence_type ile eşleşir.

3. Procurize AI Yanıt Servisini Çağırın

Aşağıdaki küçük betik (procurize-submit.sh) kanıtları okur, Procurize API‑sine gönderir ve AI‑oluşturulan yanıtları JSON dosyasına yazar.

#!/usr/bin/env bash
set -euo pipefail

API_KEY="${PROCURIZE_API_KEY}"
POLICY_REPO="https://github.com/yourorg/compliance-policies.git"
EVIDENCE_DIR="evidence"

# Gerekirse en güncel politikaları çek (zaten checkout yapılmışsa atlanabilir)
git clone "$POLICY_REPO" policies_tmp
tar -czf policies.tar.gz -C policies_tmp .

# AI yanıt API'sine istek gönder
curl -s -X POST "https://api.procurize.com/v1/answers" \
  -H "Authorization: Bearer $API_KEY" \
  -F "policies=@policies.tar.gz" \
  -F "evidence=@${EVIDENCE_DIR}" \
  -o answers.json

# Yanıtları CI artefaktı olarak sakla
jq . answers.json > compliance/answers-${GITHUB_SHA}.json

CI içinde bu betiği çalıştırıp answers-*.json dosyasını bir sonraki aşamaya aktarın.

  generate-answers:
    needs: collect-evidence
    runs-on: ubuntu-latest
    env:
      PROCURIZE_API_KEY: ${{ secrets.PROCURIZE_API_KEY }}
    steps:
      - uses: actions/checkout@v3
      - name: Kanıt artefaktını indir
        uses: actions/download-artifact@v3
        with:
          name: compliance-evidence
          path: evidence/
      - name: Procurize gönderim betiğini çalıştır
        run: ./procurize-submit.sh
      - name: Yanıt artefaktını yükle
        uses: actions/upload-artifact@v3
        with:
          name: compliance-answers
          path: compliance/

4. Uyumluluk Metaverisini Kalıcı Hale Getirin

S3’e yüklenen answers.json dosyasına tetiklenen bir Lambda (veya serverless fonksiyon) çalıştırarak DynamoDB’ye kayıt ekleyin:

import json, boto3, os

ddb = boto3.resource('dynamodb')
table = ddb.Table(os.getenv('COMPLIANCE_TABLE'))

def handler(event, context):
    # S3 olayı varsayımı
    s3 = boto3.client('s3')
    bucket = event['Records'][0]['s3']['bucket']['name']
    key = event['Records'][0]['s3']['object']['key']
    obj = s3.get_object(Bucket=bucket, Key=key)
    answers = json.loads(obj['Body'].read())

    record = {
        'build_id': answers['metadata']['build_id'],
        'status': 'COMPLIANT' if answers['overall_confidence'] > 0.9 else 'REVIEW_NEEDED',
        'timestamp': answers['metadata']['timestamp'],
        'summary': answers['summary']
    }
    table.put_item(Item=record)
    return {'statusCode': 200}

Böylece her derlemenin uyumluluk durumu Procurize panosunda veya kendi özel UI’nuzda görüntülenebilir.

5. Geçiş Kontrolleri (Opsiyonel)

Pipeline’ın başarısız olması isteniyorsa, DynamoDB’den durumu okuyup düşük güven puanlı derlemeleri durdurabilirsiniz.

  compliance-gate:
    needs: generate-answers
    runs-on: ubuntu-latest
    steps:
      - name: Uyumluluk durumunu kontrol et
        run: |
          STATUS=$(aws dynamodb get-item \
            --table-name ${{ secrets.COMPLIANCE_TABLE }} \
            --key '{"build_id": {"S": "${{ github.sha }}"}}' \
            --query 'Item.status.S')
          if [[ "$STATUS" != "COMPLIANT" ]]; then
            echo "Uyumluluk geçidi başarısız: $STATUS"
            exit 1
          fi

Geçidi geçen derlemeler üretime geçer; başarısız olanlar geliştiricilere anında geri bildirim verir ve politika boşlukları kapatılmadan sürüm yapılmaz.

Elde Edilen Fayda

Ölçüt	Geleneksel Süreç	Entegre CI/CD Süreci
Ortalama anket dönüş süresi	10–14 gün	2–4 saat
Elle harcanan çalışma saatleri (sürüm başına)	12–20 saat	≤ 2 saat (çoğunlukla inceleme)
Denetim kanıtının tamlığı	%70‑80	%95‑100
Uyumluluk kaynaklı sürüm engeli sıklığı	1 / sprint	< 0.1 / sprint

Hızın yanı sıra risk azalır, çünkü her commit en güncel politika setiyle değerlendirilir; denetlenebilirlik ise her derleme ile ilişkilendirilmiş değişmez kanıtlar sayesinde artar.

Yaygın Tuzaklar ve Önleme Yöntemleri

Eski Politika Önbelleği – CI işinin her zaman en yeni politika deposunu çektiğinden emin olun. Bir checksum ya da kilit‑dosyasıyla tazeliği doğrulayın.
AI’ya Aşırı Bağımlılık – AI servisini, güven puanı belirli bir eşik (ör. %85) altında olan yanıtları işaretleyecek şekilde yapılandırın. Bu yanıtlar mutlaka insan incelemesinden geçmeli.
Kanıt Boyutu Patlaması – Kanıtları sıkıştırılmış arşivlerde tutun ve uyumluluk çerçevelerinizde tanımlı saklama süresi dolduğunda eski artefaktları temizleyin.
API Anahtar Güvenliği – Procurize kimlik bilgilerini CI sırları (GitHub Secrets, Azure Key Vault vb.) içinde saklayın ve periyodik olarak yenileyin.

Modeli Genişletmek: CI’dan CD Yönetişimine

CI içinde uyumluluğu yerleştirdikten sonra aynı koruyucu önlemleri CD (dağıtım) ve runtime izleme aşamalarına da yayabilirsiniz:

Dağıtım‑zamanı politika doğrulama – Helm chart’ı yayımlamadan önce, aynı YAML tanımlarıyla Kubernetes RBAC, ağ politikaları ve gizli yönetimini kontrol eden bir adım çalıştırın.
Runtime kanıt akışı – Falco, OpenTelemetry gibi ajanlarla güvenlik olaylarını sürekli Procurize kanıt deposuna akıtın; böylece sürekli uyumluluk döngüsü kapanır.
Kendine‑hizmet uyumluluk portalı – Uyumluluk panosunun sadece iç ekipler için değil, müşterileriniz için de okunabilir bir görünümünü sunarak rekabet avantajı yaratın.

TL;DR

Tüm güvenlik politikalarını kod‑olarak (YAML/JSON) bir Git deposunda saklayın.
CI adımlarına değişmez kanıt toplama ekleyip bu kanıtları Procurize’in AI yanıt API’sine gönderin.
AI‑oluşturulan yanıtları ve güven puanlarını bir metaveri deposunda tutun.
Uyumluluk geçidi ekleyerek, düşük güven puanı olan sürümleri bloklayın.
Yakında gerçek‑zamanlı denetim hazırlığı, manuel çaba azalması ve pazara daha hızlı çıkış elde edin.

Procurize’in yapay zeka destekli uyumluluk platformunu CI/CD iş akışınıza bütünleştirerek, uyumluluğu periyodik kontrol listesinden sürekli, otomatik bir kalkan hâline dönüştürürsünüz—modern DevOps’un test, güvenlik ve gözlemlenebilirlik yaklaşımına paralel bir adım.