Web Sitenizin Güvenlik Başlıklarını Terminalden Kontrol Edin

Güvenlik başlıklarını elle test etmek, zaman kaybettiren ve hataya açık bir süreçtir: dağıtıma geçtikten sonra ilgili siteye gidip URL’yi yapıştırıyor, raporda göz gezdiriyor ve ardından kimsenin fark etmediği bir regresyonun ortaya çıktığını görüyorsunuz. Bu süreci tamamen terminale taşıyan yeni bir CLI aracı, güvenlik denetimlerini otomatikleştiriyor ve dağıtımları A+ notuyla korumanıza yardımcı oluyor.

Terminalden Anında Güvenlik Raporu

Artık tarayıcıya gitmek yerine, sadece tek bir komutla web sitenizin HTTP güvenlik başlıklarını analiz edebilirsiniz. Bu araç, hem bireysel geliştiriciler hem de CI/CD borularında kullanılabilecek şekilde tasarlandı. Aşağıdaki komutla projenizin güvenlik notunu anında öğrenin:

npx @hailbytes/security-headers 

Komut çalıştırıldığında, terminalde renkli bir rapor görüntülenir. Raporda yer alan başlıklar arasında HSTS, CSP ve X-Frame-Options gibi kritik güvenlik önlemleri yer alır. Eğer siteniz D ya da F notuna sahipse, komut otomatik olarak hata kodu döndürür. Bu özellik, dağıtımlarınızda regresyonları tespit etmek için mükemmel bir araçtır.

CI Borularında Güvenlik Koruması

Bu aracı CI borularınıza entegre ederek, dağıtımlarınızın güvenlik standartlarını sürekli olarak koruyabilirsiniz. Örneğin, staging ortamındaki bir regresyonu otomatik olarak durdurmak için aşağıdaki komutu kullanabilirsiniz:

npx @hailbytes/security-headers  || exit 1

Bu komut, eğer staging ortamındaki sitenizin güvenlik notu D ya da F ise, dağıtım sürecini durduracaktır. Böylece, geliştirme ekibinizin dikkatini hemen çekerek sorunun hızlıca giderilmesini sağlarsınız.

Programatik Kullanım ve Kütüphane Entegrasyonu

Güvenlik başlıklarını elle kontrol etmek yerine, kodunuzda doğrudan analiz edebilirsiniz. Aşağıdaki örnek, JavaScript kullanarak bir web sitesinin güvenlik başlıklarını incelemenizi gösteriyor:

import { analyze } from '@hailbytes/security-headers';

const report = await analyze(');

console.log(report);

Bu kod parçası, sitenizin güvenlik notunu ve başlıklarının durumunu doğrudan terminalinizden görmenizi sağlar. Ayrıca, analyzeHeaders fonksiyonu sayesinde, doğrudan başlık nesneleriyle de çalışabilirsiniz. Bu özellik, özellikle middleware’lerde veya birim testlerinde faydalıdır:

import { analyzeHeaders } from '@hailbytes/security-headers';

const report = analyzeHeaders({
  'strict-transport-security': 'max-age=31536000; includeSubDomains',
  'content-security-policy': "default-src 'self'",
  'x-frame-options': 'DENY',
  // Diğer başlıklar...
});

Denetlenen Güvenlik Başlıkları ve Puanlama Sistemi

Bu araç, yedi kategori altında web sitenizin güvenlik başlıklarını analiz eder. Bu kategoriler şunlardır:

• HSTS (Strict-Transport-Security)
• CSP (Content-Security-Policy)
• X-Frame-Options
• X-Content-Type-Options
• Referrer-Policy
• Permissions-Policy
• Cross-Origin ailesi (COEP, COOP, CORP)

Her başlık, sayısal bir puan, durum bilgisi (good, warning, missing, error) ve doğrudan bir iyileştirme önerisi içerir. Bu öneriler, hata ayıklama bileti oluştururken kullanabileceğiniz açıklamalar şeklindedir.

Puanlama sistemi basit ve anlaşılırdır:

• A+ ≥ 90%
• A ≥ 75%
• B ≥ 60%
• C ≥ 40%
• D ≥ 20%
• F < 20%

Kurulum ve Lisans

Bu aracı kullanmaya başlamak için npm üzerinden kolayca yükleyebilirsiniz:

npm install @hailbytes/security-headers

Araç, MIT lisansı altında yayınlanmıştır ve herkes tarafından ücretsiz olarak kullanılabilir. Güvenlik denetimlerini otomatikleştirerek projelerinizin güvenlik standartlarını sürekli olarak koruyabilirsiniz.

Geleceğe Bakış

Güvenlik başlıklarının elle kontrol edilmesi artık tarihe karıştı. Terminalden anında rapor alabilmek ve CI borularına entegre edebilmek, geliştiricilere ve güvenlik ekiplerine büyük bir esneklik sağlıyor. Bu araç, projelerinizin güvenlik standartlarını otomatik olarak koruyarak, hem zamandan tasarruf etmenizi hem de insan hatasını en aza indirmenizi sağlıyor. Gelecekte, benzer araçların daha da yaygınlaşmasıyla birlikte, web güvenliğinin standartlarını yükseltmek çok daha kolay hale gelecek.