Mend:
- Kodu, dependencyleri scan eder CI/CD Pipeline i blok edebilir. PR olusturur ve güvenlik policylerini enforce eder.
- Open‑source dependency vulnerabilities
- License compliance
- Policy enforcement (fail builds, gates)
- Auto‑fix suggestions / PRs
- Dashboards for security & compliance
Trivy:
- CI/CD Pipeline da calisan opensource bir scannerdir.
- Container
- Filesystem
- IAC
- ve Dependencyleri scan eder
- Container image CVEs
- OS packages
- App dependencies
- IaC misconfigurations
- Secrets (optional)
OSS Index :
Dependency deki vulnerabilitylerin varligini kontrol eden bir servistir. Query e cevap verir.
Dependency Track:
Vulnereability leri zamana bagli olarak kontrol eden kayit tutucusudur. Örnegin SBOM u yükleyip OSS Index ten sorgulariz ve silmez isek bu orada kalip sürekli sorgulanir. Gelecekte müsteriye verdigimiz eski bir versiyonda vulnerebility var mi yokmu görebiliriz.
Sonarqube :
Kodun ne kadar düzgün yazildigi vene kadar güvenli oldugunu kontrol eder. Kodun kalitesini artirmak amaclidir.
- Bugs (logic errors, null pointer risks, etc.)
- Code smells (hard‑to‑maintain code)
- Security issues in your code (e.g. injection, unsafe APIs)
- Test coverage & duplication
- Coding rule violations
Sonarqube bazi dillerde kodun compile edilmesini gerektirir. Build esnasinda olusan loglarda incelemeye tutulur.
- Java Build gerekir
- IOS build gerekir
- Python build gerekmez
Teamscale :
Teamscale is uzun dönem kod sagligi ve kalitesi ile ilgilidir. Nerelerde cok degisiklik oluyor nerelerde risk artiyor gibi konulari inceler.
- Code quality & maintainability
- Technical debt
- Code churn (what changes a lot)
- Risky hotspots (complex + often‑changed code)
- Test coverage over time
- Developer & team metrics
| Tool | Main question it answers |
|---|---|
| SonarQube | Kod temiz ve dogru mu? |
| Teamscale | Kodbase de problemler nerede yogunlasiyor? |
| OSS Index | Kullandigimiz libraryler güvenlimi? |
| Dependency‑Track | Hangi dependencylerimiz var hangileri riskli? |
| Trivy | Arifactlerimizde güvenlik riski varmi? |
| Mend | Enterprise platform that scans & enforces everything |
Bu sekilde olusturabiliriz pipelinei. Böylece tüm kontrolleri tamamlamis oluruz ve sonra kodun build islemlerine gecebiliriz.