Bug Bounty Program Kurma: Şirketim İçin Sürdürülebilir Etik Hacker Ödül Sistemi
Bug bounty vs pentest fark. Public vs Private. Platform (HackerOne, Bugcrowd, Intigriti, Immunefi Web3) vs self-hosted. Scope tanımlama, severity matrix CVSS 4.0, reward tablosu, triage SLA, Coordinated Disclosure. Türkiye'de TCK 243-245 + safe harbor. KAOS motoru ile self-discovery (BB öncesi temizlik). 30 günlük başlangıç planı.
Bug Bounty Program Kurma: Şirketim İçin Sürdürülebilir Etik Hacker Ödül Sistemi
Klasik sızma testi yılda bir veya iki kez yapılır, raporlar PDF olarak masaya konur ve sonraki teste kadar saldırı yüzeyi büyür. Oysa saldırganlar ne kuyruğa girer ne de tarih bekler. İşte tam bu noktada bug bounty devreye giriyor: dünyanın dört bir yanından etik hacker, sizin sisteminizi her gün, her saat, kendi metodolojisiyle test ediyor ve sadece gerçek bir zafiyet bulup kanıtlarsa ödül alıyor. Bu yazıda Türkiye'deki bir şirketin sıfırdan sürdürülebilir bir bug bounty programı nasıl kurabileceğini, hangi platformu seçmesi gerektiğini, ödüllendirme matrisini, hukuki çerçeveyi ve DSET'in KAOS motoruyla program öncesi temizliğin nasıl yapıldığını anlatacağız.
Bug Bounty Nedir, Sızma Testinden Farkı Ne?
Bug bounty, bir şirketin kendi sistemlerinde zafiyet bulan dış araştırmacılara önceden ilan ettiği kurallar çerçevesinde ödül verdiği sürekli güvenlik programıdır. HackerOne ve Bugcrowd gibi platformların yıllık raporlarına göre küresel hacker topluluğu artık on binlerle ölçülüyor ve bulduğu kritik zafiyet sayısı klasik denetim sektörünü geride bırakıyor.
Sızma testi ile bug bounty birbirinin alternatifi değil, tamamlayıcısıdır. Sızma testi sabit kapsamlı, sabit süreli, sabit ücretlidir. Bug bounty ise sürekli, sonuç bazlı ve geniş kitlelidir. İdeal yapı şöyledir: yılda bir kapsamlı pentest, ardından canlı bug bounty programı.
| Kriter | Sızma Testi | Bug Bounty |
|---|---|---|
| Süre | 1, 2 hafta | Sürekli |
| Test eden | 2, 3 uzman | Yüzlerce hacker |
| Ücretlendirme | Sabit | Bulguya göre |
| Kapsam | Dar, derin | Geniş, paralel |
| Rapor | Yapısal PDF | Anlık ticket |
Public mi Private mi? Programın Görünürlüğü
İki temel görünürlük modeli vardır:
Private (davetli) program: Sadece platformun puanı yüksek, kimliği doğrulanmış araştırmacılarını kapsar. Yeni başlayan Türk şirketleri için en mantıklı başlangıç biçimidir. 5 ile 10 araştırmacıyla başlayıp süreç olgunlaşınca kapsamı genişletmek hem gürültüyü hem de duplicate raporu azaltır.
Public program: Platforma kayıtlı herkesin katılabildiği açık programdır. Görünürlük yüksek, marka prestiji büyük, fakat aynı zamanda günde yüzlerce düşük kaliteli rapor gelebilir. Triage ekibiniz olgunlaşmadan public'e geçmek özyıkıma yol açar.
Profesyonel kural: önce 3, 6 ay private invite-only, sonra public.
Platform mu, Self-Hosted mu?
Üç ana platform Türk şirketinin gündeminde olmalı:
- HackerOne: Sektör lideri, en kalabalık araştırmacı havuzu, GitHub, Shopify, Goldman Sachs gibi ağır referanslar. Triage hizmetini de satar.
- Bugcrowd: Kurumsal odaklı, "Crowdcontrol" platformu, ASM (saldırı yüzeyi yönetimi) entegrasyonu güçlü.
- Intigriti: Belçika merkezli, GDPR ve AB veri ikametine duyarlı şirketler için cazip. EU bazlı araştırmacı havuzu büyük.
Web3 ve akıllı kontrat tarafında Immunefi tartışmasız lider. Bir DeFi protokolü kuruyorsanız doğrudan oraya gideceksiniz.
Self-hosted seçenek de mümkündür: kendi web sayfanızda security.txt dosyası, security@ e-posta adresi ve şartlar sayfası ile yürütülür. Trail of Bits'in responsible disclosure rehberi bu modeli benimseyen şirketler için iyi bir referanstır. Avantajı maliyet sıfır olur, dezavantajı triage ve ödeme operasyonu komple sizin omzunuza biner.
Pratik tavsiye: 50 milyon TL altı cirolu bir SaaS için Intigriti private, daha büyükleri için HackerOne private ile başlayın.
Scope (Kapsam) Tanımlama Sanatı
Kötü tanımlanmış kapsam, hem sizi hem hacker'ı yorar. Net olun.
In-scope örnek:
*.sirketadi.com.trüretim alan adları- iOS ve Android mobil uygulamaları (bundle id ile)
api.sirketadi.com.trüzerindeki tüm REST uçları- Halka açık IP blokları (CIDR ile yazın)
Out-of-scope her programda standart kabul edilenler:
- Üretim müşteri verisine erişim denemesi (test verisi sağlayın)
- Sosyal mühendislik ve fiziksel saldırılar
- DDoS, DoS, hacim bazlı saldırılar
- Rate-limit yokluğu (kendi başına raporlanamaz)
- Üçüncü taraf SaaS servisleri (Salesforce, Stripe gibi)
- Self-XSS, eski tarayıcılarda çalışan zafiyetler
OWASP Top 10 kategorilerini kapsam dokümanında açıkça referans gösterirseniz hacker hangi sınıfı arayacağını anlar.
Severity Matrisi ve CVSS 4.0
Ödül tutarsızlığının en büyük sebebi severity puanlamasının subjektif kalmasıdır. Çözüm: CVSS 4.0 standardını programınızın resmi metriği yapın. CVSS 4.0, CVSS 3.1'in zayıf kaldığı "supplemental metrics" alanını (otomasyon, kurtarma, güvenlik etkisi) çözer.
Genel kabul gören eşik tablosu şöyledir:
| Severity | CVSS 4.0 Skor | Tipik Örnek |
|---|---|---|
| Critical | 9.0, 10.0 | Önyetkisiz RCE, üretim DB dump |
| High | 7.0, 8.9 | Yatay/dikey yetki yükseltme, SQLi |
| Medium | 4.0, 6.9 | Yansımalı XSS, IDOR (sınırlı) |
| Low | 0.1, 3.9 | Bilgi sızıntısı, missing header |
Ödül Tablosu: Gerçekçi Aralıklar
Burada en sık yapılan hata abartılı rakamları kopyalamaktır. Google ve Apple gibi şirketlerin kamuya açık programlarındaki üst limitler istisnadır, sıradan bir Türk SaaS için referans değildir. HackerOne ve Bugcrowd'un yayınladığı sektör raporlarına göre küçük ve orta ölçekli kurumsal programlarda genel aralıklar şöyle seyrediyor:
| Severity | Genel Sektör Aralığı (USD) |
|---|---|
| Critical | 1.500, 5.000 |
| High | 500, 1.500 |
| Medium | 150, 500 |
| Low | 50, 150 |
Web3'te Immunefi programları kritik akıllı kontrat zafiyetleri için altı haneli ödülleri kamuya ilan ediyor, ama bu sınıf TVL (kilitli varlık) ile orantılıdır.
Türk şirketi için TL bazlı yayınlanabilir, fakat araştırmacı havuzunuz uluslararası ise USD veya EUR kullanmanız standarttır. Stripe veya Wise üzerinden ödemeyi tek tıkla yapacak şekilde altyapı kurun.
Triage Süreci: 24 Saatlik Söz
Bug bounty topluluğunda iletişim süresi, ödül kadar önemlidir. Standart SLA şöyledir:
- İlk yanıt: 24, 48 saat içinde raporu okuyup "alındı" demek
- Triage kararı: 3, 5 iş günü içinde duplicate, valid, invalid kararı
- Düzeltme planı: 10 iş günü içinde ETA bildirimi
- Ödeme: Düzeltme veya kabulden sonra 30 gün içinde
Triage'ı kim yapacak? İki yol var: ya platformun managed triage hizmetini satın alın (HackerOne ve Bugcrowd ayrı fiyatlar), ya da kendi içinizde bir IR ekibinizle günlük rutine bağlayın.
Coordinated Disclosure: Açıklama Takvimi
Zafiyetin kamuya ne zaman ve nasıl açıklanacağı sözleşme metnine yazılmalıdır. Endüstri standardı:
- Hacker, düzeltme tamamlanana kadar üçüncü kişilerle paylaşmaz.
- Şirket, düzeltmeyi makul sürede (genelde 90 gün) yapmaya söz verir.
- Düzeltmeden sonra her iki taraf ortak yazılı bir özet yayınlayabilir (CVE numarası, etkilenen sürüm).
- Hacker'ın katkısı belirtilmeden açıklama yapılmaz.
Bu çerçeve Trail of Bits responsible disclosure rehberinde ayrıntılı işlenir.
Hall of Fame ve Duplicate Kuralı
Ödülün ötesinde, isminin programınızda görünmesi bir araştırmacı için ciddi bir motivasyon kaynağıdır. Public bir "Hall of Fame" sayfası kurun; ad, ülke, severity ve tarih gösterin. Bu sayfa hem topluluğa saygı işaretidir hem de marka iletişim aracıdır.
Duplicate kuralı: Aynı zafiyeti iki hacker'ın bağımsızca bildirmesi olağandır. Endüstri standardı, ilk geçerli raporu yazana ödülü vermektir. Ancak yeni saldırı zinciri, daha derin etki veya bypass üreten ikinci rapor da ayrıca ödüllendirilebilir. Bunu programınızın şartlar sayfasında açıkça yazın.
Bug Bounty Hunter ile İletişim Kuralları
Araştırmacılar genelde son derece teknik, doğrudan ve metodolojik insanlardır. Halk dili konuşmaktan kaçınmayın ama:
- Aşağılayıcı dil yasak. "Bu zaten biliniyordu" cümlesi ancak public bir CVE referansı ile kullanılır.
- Severity düşürmek yerine açıklayın. "Bu medium çünkü etki üretim verisine sınırlı" gibi gerekçe yazın.
- Reproduce edemediğiniz durumda araştırmacıdan video veya PoC isteyin, "çalışmıyor" deyip kapatmayın.
- İptal etmeyin, etiketleyin. Geçerli olmayan raporu da "informational" olarak arşivleyin, hacker geri bildirim alır.
Yasal Çerçeve: Türkiye'de Bug Bounty Hukuku
Türkiye için en kritik kalem 5237 sayılı Türk Ceza Kanunu'nun 243, 244 ve 245. maddeleridir. Bu maddeler izinsiz bilişim sistemine erişimi, veri değiştirmeyi ve banka kartı suistimalini suç olarak tanımlar. Bug bounty programı, hacker'ın eylemini hukuki olarak geçerli hale getiren rıza beyanı olduğu için zorunludur.
Programınızın şartlar sayfasında mutlaka şu safe harbor ifadesi olmalıdır (öz):
Bu programın kuralları çerçevesinde iyi niyetle yapılan güvenlik araştırması, şirketimiz tarafından yetkilendirilmiş kabul edilir. Bu kapsamda yapılan eylemler için araştırmacı hakkında suç duyurusunda bulunulmayacaktır.
KVKK tarafı: Hacker'ın test sırasında kişisel veri görmesi halinde derhal silmesi, paylaşmaması ve şirkete bildirmesi sözleşme şartı olmalıdır. ISO 27001 sertifikalı şirketler için bu zaten doküman havuzunda hazır metin olarak bulunur.
Türk Şirketler İçin Pratik 30 Günlük Başlangıç
Sıfırdan canlıya geçen pratik bir takvim:
1. hafta: Politika dokümanı, kapsam, severity matrisi, safe harbor metni.
2. hafta: Platform seçimi (Intigriti veya HackerOne), private program oluşturma, ilk 5, 10 davetli araştırmacı listesi.
3. hafta: Yasal onaylar, hukuk birimi imzası, ödeme altyapısı (Stripe veya Wise).
4. hafta: Soft launch, ilk raporların triage'ı, SLA testleri.
Bu sürecin olmazsa olmazı bug bounty öncesi "evi temizlemek"tir. Aksi halde ilk hafta 50 medium rapor gelir, bütçeniz iki günde biter ve moral çöker.
DSET'in KAOS Motoru ile Program Öncesi Self-Discovery
DSET olarak kurum içinde geliştirdiğimiz KAOS otonom güvenlik motoru, bug bounty öncesi temizliğin tam olarak ihtiyaç duyduğu araçtır. KAOS, 70'in üzerinde uzmanlaşmış modülle (recon, IDOR avcısı, SSRF tarayıcı, takeover triage, exploit doğrulayıcı, CVE eşleştirici) hedef sisteminizi bağımsız bir hacker gibi tarar.
KAOS programınızdan önce:
- Subdomain envanterinizi çıkarır (passive recon + cert intel)
- OWASP Top 10 kategorisinde low-hanging fruit zafiyetleri yakalar
- Exploit motoru ile bulguyu gerçekten sömürülebilir mi diye doğrular
- Bulguları severity ve CVSS 4.0 puanı ile raporlar
Sonuç: bug bounty'ye başladığınız gün dış araştırmacılar artık kolay zafiyetle gelmez, gerçekten yaratıcı saldırı zincirlerini bulur. Bütçeniz boşa harcanmaz, kritik zafiyet keşif oranınız 3 katına kadar yükselir.
Bunu güçlendiren yardımcı katmanlar: modern EDR çözümü endpoint hijack denemesini bug bounty raporundan önce görür, SOC 2 sertifikasyonu ise SaaS müşterilerinize program ciddiyetinizi kanıtlar.
SSS
1. Bug bounty bütçesi yıllık ne kadar olmalı? Sektör pratiği: yıllık bilgi güvenliği bütçesinin yüzde 5 ile yüzde 10'u. 100 bin USD'lik güvenlik bütçesi olan bir SaaS için 5 bin, 10 bin USD'lik bir bounty rezervi makul başlangıçtır.
2. Hacker bizden izinsiz Pentest yaptı, ödül vermek zorunda mıyız? Hayır. Resmi program ilan etmediyseniz hukuki yükümlülüğünüz yok. Ancak iyi niyetli bildirimi cezalandırmak topluluk içinde sizi rezil eder. En az teşekkür yazısı ve Hall of Fame yerini önerin.
3. Triage'ı outsource etmek mantıklı mı? İlk 6, 12 ay evet. HackerOne ve Bugcrowd managed triage hizmetiyle gürültüyü filtrelersiniz. Hacim olgunlaşınca içeride döndürmek daha ekonomiktir.
4. Bug bounty müşterilerime nasıl anlatacağım? Tersine, bu bir güven sinyalidir. "Sistemlerimizi sürekli dış güvenlik araştırmacısı topluluğuna açık tutuyoruz" cümlesi B2B satışta ciddi bir farktır. Hall of Fame sayfası vitrindir.
5. Hacker bulduğu zafiyeti satarsa ne olur? Programda açıkça yazılı "non-disclosure" şartı, hacker'ı bağlar. Şart ihlali halinde ödül iptal edilir ve hukuki yol açılır. Bu yüzden private program tercih edilir, kimlik doğrulanmıştır.
6. CVSS 4.0 ile CVSS 3.1 arasında geçmeliyiz miyiz? Yeni programlar doğrudan 4.0 ile başlamalı. Eski programlar 2025 sonuna kadar geçiş takvimi belirledi. FIRST.org resmi rehberi referansınızdır.
7. Kapsam dışı saldırı geldi, ne yapacağım? "Out-of-scope" etiketi ile kapatın, kibarca raporu yazana kapsamı hatırlatın. Hacker bunu öğrenir, ileride doğru raporu getirir. Cezalandırmayın.
8. KAOS motorunu kendi sistemimizde nasıl çalıştırırız? DSET, KAOS tarafından üretilen self-discovery raporunu kapalı kapsama özel anahtarla teslim eder. Bunun ardından temizlenmiş sistemi bug bounty'ye açabilirsiniz. Talep üzerine yerinde demo yapılabilir.
Sonuç ve Sıradaki Adım
Bug bounty programı sadece bir bütçe kalemi değil, bir kültürtür. Doğru kurulduğunda yıllık bir pentest'ten on kat fazla zafiyet yakalar, marka prestijinizi yükseltir ve uluslararası SaaS satışında ciddi bir farklılaştırıcı olur. Yanlış kurulduğunda ise bütçeniz iki haftada erir, topluluğa kötü adınız çıkar ve hukuki riske girersiniz.
DSET, Hacettepe Teknokent Ankara merkezinden bug bounty program danışmanlığı, KAOS otonom self-discovery taraması, scope ve severity dokümantasyonu, platform seçim danışmanlığı ve triage operasyonunu uçtan uca yürütür. Programınızı doğru ayakla başlatmak için bizimle görüşün: +90 536 662 38 09.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.