Filters

2024 - 20253
Reset filters

Settings

Language: enSubject: Software Security

Search Results

Now showing 1 - 3 of 3
  • Thumbnail Image
    Master Thesis
    Open Policy Agent İlke Uyumunun İzlemesinin Graylog Kullanılarak İyileştirilmesi
    (2024) Shıbanı, Ahmed Salem Ahmed; Nazlıoğlu, Selma
    Modern BT ortamlarının giderek daha karmaşık hale gelmesiyle güvenlik politikalarına sıkı sıkıya uyulmasının sağlanması önem kazanmaktadır. Geleneksel izleme yöntemleri, dinamik ve dağıtık sistemleri yönetmek için gerekli görünürlük ve gerçek zamanlı içgörüler sağlama konusunda genellikle yetersiz kalmaktadır. Bu araştırma, Graylog'un güçlü günlük yönetim yeteneklerinden yararlanarak OPA karar günlüklerini izleyip analiz ederek bu zorluklara çözüm bulmayı amaçlamaktadır. Bu sayede, politika ihlallerinin tespiti ve yönetimi iyileştirilmektedir. Bu çalışmanın temel amacı, politika uygulama faaliyetlerinin görünürlüğünü ve yönetimini artıran bir izleme çözümü geliştirmektir. Bu araştırma ile politika ihlallerini tespit etmek için gerekli olan OPA karar günlüklerinin içerisindeki kritik veri unsurları çıkarılmış ve bir OPA Karar Günlüğü Ayrıştırıcı ve Veri Çıkarıcı geliştirilmiştir. Graylog'un OPA ile entegrasyonu sayesinde,, politika uyumuna ilişkin gerçek zamanlı içgörüler sağlayan ve güvenlik sorunlarına proaktif yanıtlar verilmesini mümkün kılan panolar ve uyarı mekanizmaları tasarlanmış ve uygulanmıştır. Ayrıca, politika izleme çözümlerinin Graylog ve OPA toplulukları tarafından daha geniş çapta benimsenmesini ve etkili bir şekilde kullanılmasını kolaylaştıracak paylaşımlı bir içerik paketi ortaya çıkarılmıştır. Önerilen çözümün etkinliği, üç kullanım durumu aracılığıyla doğrulanmıştır. Her uygulama, sistemin politika ihlallerini doğru ve verimli bir şekilde tespit etme yeteneğini göstererek, entegrasyonun çeşitli operasyonel ortamlardaki faydasını doğrulamaktadır. Entegrasyonun, gerçek zamanlı politika uyumunun izlemesini önemli ölçüde artırdığı, politika ihlallerinin tespiti ve uyarılmasını iyileştirdiği ve özelleştirilebilir panolar aracılığıyla uygulanabilir içgörüler sağladığı tespit edilmiştir. Gelecek araştırma konuları arasında kullanım durumlarının diğer konteyner düzenleme platformlarına uygulaması ile genişletilmesi, ileri analiz ve makine öğrenimi tekniklerinin dahil edilmesi ve OPA'nın günlük kaydı yeteneklerinin yapılandırılması ve kullanılması için detaylı kullanıcı kılavuzlarının geliştirilmesi yer almaktadır.
  • Thumbnail Image
    Master Thesis
    Yapay Zeka Kodlarında Güvenlik: LLM Çıktılarındaki Açıkları Azaltmak için Prompt Mühendisliği Yaklaşımı
    (2025) Saleem, Wardah; Nazlıoğlu, Selma
    Yapay zeka tarafından üretilen kodların güvenliği, Büyük Dil Modelleri'nin (LLM'ler) yazılım geliştirme süreçlerinde giderek daha fazla kullanılmasıyla önemli bir endişe haline gelmiştir. GPT-3.5, GPT-4, Gemini, DeepSeek ve LLaMA gibi güçlü kod üretme yeteneklerine sahip modeller, güvenlik açısından kabul görmüş standartları tam olarak anlamadıkları için SQL enjeksiyonu, zayıf kimlik doğrulama ve hatalı erişim kontrolü gibi güvenlik açıklarına karşı savunmasız kalabilmektedir. Bu tez, LLM'ler tarafından üretilen kodların güvenliğini artırmak amacıyla OWASP Top 10 standartlarının dahil edildiği hızlı mühendislik (prompt engineering) tekniklerini incelemektedir. Bu çalışmada, farklı LLM'lerde (zero-shot, Chain-of-Thought, Recursive Criticism and Improvement (RCI) ve persona tabanlı promptlar) farklı yönlendirme stratejileri karşılaştırılarak bir kıyaslama veri kümesi (LLMSecEval) ve statik analiz araçları (Bandit ve CodeQL) kullanılmıştır. Sonuçlar, RCI tekniğinin güvenlik açıklarını önemli ölçüde azalttığını ve LLaMA modelinin RCI tekniğiyle sıfır güvenlik açığına ulaştığını göstermektedir. Bulgular, yönlendirme (prompt) tasarımının güvenlik risklerini azaltmadaki etkinliğini ortaya koymakta ve geliştiriciler ile araştırmacılar için güvenli kod üretimi konusunda pratik içgörüler sunmaktadır. Bu araştırma; açık ve kapalı LLM'lerin karşılaştırmalı değerlendirmesini yaparak, prompt mühendisliğini geliştirerek ve güvenlik odaklı, yeniden kullanılabilir prompt şablonları önererek literatüre katkı sağlamaktadır. Araştırmanın ikinci aşamasında, RCI-SA Döngüsü (Statik Analiz ile Yinelemeli Eleştiri ve İyileştirme) adı verilen bir iyileştirme yöntemi sunulmuştur. Bu yinelemeli yaklaşım, statik analiz geri bildirimlerini kullanarak üretilen kodları sürekli olarak iyileştirmeyi amaçlamaktadır. Bazı durumlarda tespit edilen toplam CWE sayısı artsa da, bu döngü birçok kritik güvenlik açığını ortadan kaldırmış ve önceden gizli olan sorunları açığa çıkarmıştır, bu da genel güvenliğin artmasına yol açmıştır. Bu yöntem, yinelemeli doğrulamanın önemini vurgulamakta ve geri bildirim odaklı prompt iyileştirmeleri yoluyla güvenli kod üretimi için pratik bir çerçeve sunmaktadır.
  • Thumbnail Image
    Conference Object
    Prompting for Security: A Cross-Model Evaluation of Code Generation in LLMs
    (Institute of Electrical and Electronics Engineers Inc., 2025) Saleem, W.; Nazlioglu, S.
    The security of AI-generated code has become a growing concern as Large Language Models (LLMs) like GPT-4, Gemini, DeepSeek, and LLaMA are increasingly integrated into software development pipelines. While prior research has primarily focused on GPT-family models, the security performance of newer open models under structured prompting remains underexplored. This study evaluates the ability of modern LLMs to generate secure code using six established prompting strategies across 150 Python tasks (LLMSecEval). Generated code was assessed using two static analysis tools (Bandit and CodeQL) to detect Common Weakness Enumeration (CWE) vulnerabilities. Findings showed that Recursive Criticism and Improvement (RCI) prompting significantly improves security outcomes across all models. Notably, LLaMA produced over 15,800 lines of vulnerability-free code under RCI. Gemini and DeepSeek also showed notable improvements under guided prompting. From a tool-specific perspective, Bandit and Cod-eQL produced divergent results, with CodeQL exposing deeper or more complex vulnerabilities. These results highlight the necessity of prompt-aware security evaluations and multi-tool static analysis to ensure reliable, secure code generation from LLMs. This study offers practical insights into secure code generation for developers and researchers. © 2025 IEEE.