Mobil Tedarik Zinciri Koruması

Ele geçirilmiş bağımlılığıyayınlamadan durdurun.

Her mobil build binary seviyesinde envantere alınır, canlı CVE ve KEV feed'lerine karşı puanlanır ve CI pipeline içinde kapıdan geçirilir. Ele geçirilmiş paket store'a ulaşmaz.

Demo Talep EtNasıl çalışıyor
Release öncesi vetting
Binary-aware
iOS & Android

Mobil tedarik zinciri neden farklı

Test ettiğiniz şey, yayınladığınız şey değil.

Mobil uygulamalar SDK'lardan, analytics kütüphanelerinden, reklam framework'lerinden ve çoğu güvenlik ekibinin hiç incelemediği transitive açık kaynak paketlerinden oluşur. Çoğu build-time aracı CI pipeline'ınızın ürettiği binary blob'ları ayrıştıramıyor bile.

OWASP Mobile Top 10 (2024)

M2: Yetersiz Tedarik Zinciri Güvenliği
Ayrı bir risk kategorisi olarak eklendi. Sektör artık mobil tedarik zincirini, web tedarik zinciri riskinden ayrı, başlı başına bir tehdit yüzeyi olarak ele alıyor.

Görünürlük boşluğu

Önde gelen mobil SDK'ların %60'tan fazlası önceden derlenmiş binary olarak geliyor
Statik tarayıcılar ve klasik SCA araçları içlerini göremez. Sunucu tarafı SCA çoğu zaman APK veya IPA paketlerini bile ayrıştıramaz. Dolayısıyla cihaza inen şey hiç doğrulanmaz.

2025–2026 npm worm dalgalarından ders

İmzalı, vetlenmiş bağımlılıklar bile ele geçiriliyor
Shai-Hulud ve Mini Shai-Hulud kampanyalarında, SLSA provenance, OIDC trusted publishing ve 2FA gibi tüm güvenlik standartlarını uygulayan yaygın projeler bile ele geçirilmiş CI/CD üzerinden zehirli versiyonlar yayınladı. Build-time vetting binary-aware olmalı ve canlı tehdit istihbaratıyla sürekli beslenmeli; tek seferlik imza kontrolü yetmez.

Mobil tarafa çoktan ulaştı

Ele geçirilen paketler uygulamanızın içine düşüyor
Yakın tarihli npm tedarik zinciri kampanyaları React Native, Flutter ve Android tooling pipeline'larında kullanılan paketleri vurdu. Saldırı yüzeyi artık sadece sunucu tarafı meselesi değil.

Yaklaşımımız

Üç katman: envanter, değerlendirme, uygulama.

Her build'deki her bağımlılık envantere alınır, canlı CVE ve KEV feed'lerine karşı puanlanır ve release öncesi CI pipeline içinde kapıdan geçirilir.

Katman 1 · Envanter

Her build için eksiksiz bir bağımlılık envanteri

Her build binary seviyesinde parçalanır ve CycloneDX ile SPDX formatlarında versiyonlanmış bir SBOM üretilir. Her direkt bağımlılığı, her transitive paketi ve build.gradle ile Podfile'ınızın hiç bildirmediği, önceden derlenmiş geldiği için görünmeyen üçüncü parti SDK'lar dahil her gömülü bileşeni yakalarız.

  • APK, AAB ve IPA'dan binary seviyesinde SBOM çıkarımı
  • Direkt, transitive ve gömülü SDK bağımlılıkları yüzeye çıkar
  • Build başına provenance ve hash'lerle versiyonlanmış arşiv

Katman 2 · Değerlendirme

Risk canlı tehdit haritasına göre puanlanır

SBOM'daki her bileşen sürekli olarak NVD, GitHub Advisories, CISA KEV ve mobile özelinde tuttuğumuz vulnerability feed ile eşleştirilir. Release sonrası yayınlanan yeni CVE'ler önceki build'leri geriye dönük olarak işaretler; sahadaki hangi sürümlerin etkilendiğini, hangilerinin etkilenmediğini dakikalar içinde bilirsiniz.

  • Bileşen başına sürekli CVE, KEV ve lisans eşleştirmesi
  • Tüm build arşivi üzerinde geriye dönük tarama
  • Ardışık build'ler arasında bağımlılık drift tespiti

Katman 3 · Uygulama

Kötü build'leri yayınlanmadan durduran politikalar

Supply-chain politikanız CI pipeline içinde bir kapı olarak çalışır. Kritik CVE, onaylanmamış SDK, lisans ihlali veya beklenmedik yeni bağımlılık getiren build'ler store'a ulaşmadan bloklanır. Onaylanmış istisnalar denetim iziyle takip edilir.

  • GitHub Actions, GitLab, Jenkins ve Bitrise için CI/CD kapısı
  • Allowlist, blocklist ve lisans politikası uygulaması
  • Jira ve Slack yönlendirmesiyle denetlenebilir onay akışı

Bizim kendi tedarik zincirimiz

Sizin tedarik zinciriniz için güvenlik satıyoruz; kendi pipeline'ımızı da aynı standartta tutuyoruz.

Byteria'nın her release'i (CLI, CI plugin, scanner) yeniden üretilebilir build'ler, imzalı provenance ve yayımlanmış SBOM ile gelir. Binary'leriniz ve SBOM'larınız tenant izole kalır. Yarın bir Shai-Hulud bizim pipeline'a ulaşırsa, siz de göreceksiniz, biz de.

  • Doğrulanabilir provenance ile imzalı release'ler
  • Her Byteria release'i için yayımlanmış SBOM
  • Major release'lerde harici binary inceleme

Hazır olduğunuzda

Ele geçirilmiş bir bağımlılığı yayınlamadan önce durdurun.

Byteria Mobil Tedarik Zinciri Koruması'nı kendi build'leriniz üzerinde çalışırken görün. Ekibimiz size SBOM çıkarımı, CVE puanlama ve güvenlik organizasyonunuzun ihtiyaç duyduğu CI gate politikalarını gösterir.

Demo Talep Et

veya doğrudan bize yazın:info@byterialab.com

Bir iş günü içinde dönüş sağlıyoruz.