Dijital Kalenizi Güçlendirin: Kapsamlı Güvenli Kodlama Standartları, OWASP Top 10 ve CI/CD Entegrasyonu Rehberi

2 Kasım 2025 Enes Özşahiner

Günümüzün dijital dünyasında yazılım artık sadece bir iş aracı değil işin tam da kendisidir. Lakin bu hızlı dijital dönüşüm, benzeri görülmemiş güvenlik risklerini de beraberinde getirmektedir. Güvenli Kodlama Standartları ve CI/CD dışında kalanlara her gün binlerce siber saldırı gerçekleşirken uygulamaların “sadece çalışması” yeterli olmaktan çıkmış; “güvenli çalışması” bir zorunluluk haline gelmiştir. Güvenlik ihlallerinin maliyeti yalnızca finansal kayıplarla sınırlı kalmayıp onarılması zor itibar kayıplarına da yol açmaktadır.

İşte bu noktada “Shift Left” (Sola Kaydırma) felsefesi devreye giriyor. Bu yaklaşım, güvenliği yazılım geliştirme yaşam döngüsünün (SDLC) son aşamasında bir kontrolden ibaret görmek yerine en başına, yani kodun yazıldığı ana taşımayı hedefler. Güvenli kodlama standartları bu felsefenin temelidir.

Bizler de bu yazımızda güvenli kodlamanın ne anlama geldiğini; endüstri standardı haline gelen OWASP Top 10 zafiyetlerini ve bu güvenlik kontrollerinin CI/CD (Continuous Integration/Continuous Deployment – Sürekli Entegrasyon/Sürekli Teslimat) pipeline’larına nasıl otomatize bir şekilde entegre edileceğini (DevSecOps) detaylıca inceleyelim…

Güvenlik Pusulası: OWASP Top 10 Nedir?

Güvenli kodlama dünyasına adım atan herkesin ilk karşılaştığı terim şüphesiz OWASP’tır. OWASP (Open Web Application Security Project), web uygulama güvenliğini iyileştirmek için çalışan, kâr amacı gütmeyen, küresel bir topluluktur.

OWASP’ın en bilinen projesi, her birkaç yılda bir güncellenen OWASP Top 10 raporudur. Bu rapor, web uygulamalarında en sık rastlanan ve en kritik 10 güvenlik zafiyetini sıralar. Bu liste, bir “kanun” veya “mutlak standart” olmaktan ziyade, geliştiricilerin, güvenlik profesyonellerinin ve kuruluşların dikkatlerini en tehlikeli risklere odaklamaları için bir farkındalık belgesidir.

Gelin, en güncel listelerden biri olan OWASP Top 10 2021 listesindeki zafiyetleri ve bunlardan nasıl korunabileceğimizi pratik örneklerle inceleyelim.

OWASP Top 10 (2021) Zafiyetleri ve Pratik Çözüm Yöntemleri

Bu bölümde her bir zafiyeti, ne anlama geldiğini, riskli bir kod örneğini ve güvenli alternatifini ele alacağız.

A01:2021 – Kırık Erişim Kontrolü (Broken Access Control)

Erişim kontrolü, kullanıcıların yetkileri dışındaki işlemleri yapmalarını engeller. Bu zafiyet, bir kullanıcının, normalde erişim izni olmaması gereken verilere veya işlevlere (örneğin başka bir kullanıcının profiline veya admin paneline) erişebilmesi durumunda ortaya çıkar.

Riskli Kod Örneği (PHP):PHP

// Kullanıcıdan gelen 'user_id' ile profil bilgilerini çeker.
$userId = $_GET['user_id'];
$profil = DB::query("SELECT * FROM user_profiles WHERE id = " . $userId);
// Güvenlik açığı: Mevcut kullanıcının bu profile bakma yetkisi var mı? Kontrol edilmiyor.

Bir saldırgan, user_id=123 yerine user_id=124 yazarak başka bir kullanıcının profilini görebilir.

Güvenli Kod Örneği (PHP):

// Oturum açmış kullanıcının kimliğini al
$oturumdakiKullaniciId = $_SESSION['user_id'];
// İstenen profil ID'sini al
$istenenUserId = $_GET['user_id'];

// Sadece oturumdaki kullanıcının kendi profilini veya admin ise başkasının profilini görmesine izin ver.
if ($oturumdakiKullaniciId == $istenenUserId || $_SESSION['is_admin'] == true) {
    $profil = DB::query("SELECT * FROM user_profiles WHERE id = " . $istenenUserId);
} else {
    // Yetkisiz Erişim Hatası
    die("Bu kaynağa erişim yetkiniz yok.");
}

Nasıl Önlenir?
- Tüm isteklerde kullanıcının kimliğini ve yetkisini sunucu tarafında doğrulayın.
- Kullanıcı rollerine göre sıkı erişim kuralları belirleyin (Role-Based Access Control – RBAC).
- URL’lerde veya API isteklerinde “tahmin edilebilir” ID’ler kullanmaktan kaçının veya bunları ek kontrollerle koruyun.

A02:2021 – Kriptografik Hatalar (Cryptographic Failures)

Verilerin (hem bekleyen hem de aktarılan) yetkisiz erişime karşı korunmaması durumudur. Bu, zayıf şifreleme algoritmaları kullanmak, parolaları düz metin olarak saklamak veya hassas verileri (kredi kartı bilgileri vb.) şifrelemeden veritabanında tutmak gibi hataları kapsar.

Riskli Kod Örneği (Python/Pseudo-code):

# PAROLA SAKLAMA - ÇOK RİSKLİ
def kayit_ol(kullanici_adi, parola):
    # Parolayı MD5 ile hash'lemek (artık güvenli değil, "rainbow table" saldırılarına açık)
    hashli_parola = md5(parola)
    db.save_user(kullanici_adi, hashli_parola)

Güvenli Kod Örneği (Python):

import bcrypt

def kayit_ol(kullanici_adi, parola):
    # Modern ve güvenli bir "salt" içeren hash algoritması kullanmak
    # bcrypt, Argon2 veya PBKDF2 gibi.
    salt = bcrypt.gensalt()
    hashli_parola = bcrypt.hashpw(parola.encode('utf-8'), salt)
    db.save_user(kullanici_adi, hashli_parola)

Nasıl Önlenir?
- Parolaları asla düz metin veya MD5/SHA1 gibi zayıf algoritmalarla saklamayın. Bcrypt, Argon2 veya PBKDF2 kullanın.
- Veri aktarımında TLS (HTTPS) kullanarak “Man-in-the-Middle” saldırılarını önleyin.
- Veritabanında saklanan hassas verileri (sağlık verileri, finansal bilgiler) güçlü algoritmalarla (örn: AES-256) şifreleyin.

A03:2021 – Enjeksiyon (Injection)

Enjeksiyon zafiyetleri, güvenilmeyen kullanıcı girdilerinin, bir komutun veya sorgunun bir parçası olarak yorumlanmasıyla ortaya çıkar. En bilineni SQL Enjeksiyonu‘dur.

Riskli Kod Örneği (Node.js/SQL Injection):

// KULLANICI GİRDİSİ DOĞRUDAN SORGUNUN İÇİNE YERLEŞTİRİLİYOR
app.post('/login', (req, res) => {
    let username = req.body.username;
    let password = req.body.password;

    let sql = "SELECT * FROM users WHERE username = '" + username + 
              "' AND password = '" + password + "'";

    db.query(sql, (err, result) => { /* ... */ });
});

Saldırgan, parola alanına ' OR '1'='1 yazarak sorguyu manipüle edebilir ve giriş yapabilir.

Güvenli Kod Örneği (Node.js/Prepared Statements):

// PARAMETRELİ SORGULAR (PREPARED STATEMENTS) KULLANMAK
app.post('/login', (req, res) => {
    let username = req.body.username;
    let password = req.body.password;

    // '?' işaretleri, verinin sorgu mantığından ayrılmasını sağlar.
    let sql = "SELECT * FROM users WHERE username = ? AND password = ?";

    // Veriler sorgudan ayrı olarak gönderilir.
    db.query(sql, [username, password], (err, result) => { /* ... */ });
});

Nasıl Önlenir?
- Her zaman parametreli sorgular (prepared statements) veya ORM (Object-Relational Mapping) kütüphaneleri kullanın.
- Kullanıcıdan gelen girdiyi (input validation) doğrulayın ve beyaz liste (whitelist) yaklaşımını benimseyin.
- Çıktı verilerini (output encoding) kullanıcıya göstermeden önce mutlaka güvenli hale getirin (örn: HTML encoding).

A04:2021 – Güvensiz Tasarım (Insecure Design)

Bu, kod seviyesindeki bir hatadan çok, uygulamanın mimarisindeki ve iş mantığındaki temel tasarım zafiyetleriyle ilgilidir. Örneğin, bir e-ticaret sitesinde “sepete ekle” ve “satın al” adımları arasında fiyatın sunucu tarafında tekrar kontrol edilmemesi.

Örnek Senaryo: Bir kullanıcı bir ürünü 100 TL’den sepete ekler. Ödeme sayfasına geçerken bir proxy aracıyla isteği (request) yakalayıp ürün fiyatını 1 TL olarak değiştirir. Eğer sunucu, ödeme anında ürünün gerçek fiyatını veritabanından tekrar kontrol etmezse, bu bir “güvensiz tasarım” zafiyetidir.
Nasıl Önlenir?
- “Threat Modeling” (Tehdit Modellemesi) yapın. Uygulamanızın hangi noktalardan saldırıya uğrayabileceğini tasarlayın.
- “Sıfır Güven” (Zero Trust) ilkesini benimseyin. Asla istemciden (browser, mobil uygulama) gelen veriye körü körüne güvenmeyin.
- Tüm kritik iş mantığı (fiyatlandırma, yetkilendirme) kontrollerini sunucu tarafında yapın.

A05:2021 – Güvenlik Ayarlarında Hata (Security Misconfiguration)

Bu zafiyet; varsayılan parolaların değiştirilmemesi, gereksiz servislerin açık bırakılması, hata mesajlarında hassas bilgilerin (örn: veritabanı bağlantı string’i) gösterilmesi gibi durumlardan kaynaklanır.

Örnek Senaryo: Bir web sunucusu (Nginx, Apache) kurdunuz ancak debug mode (hata ayıklama modu) üretim ortamında açık kaldı. Uygulama bir veritabanı hatası aldığında, ekrana tüm veritabanı bilgilerini, sunucu yollarını ve kod parçacıklarını basabilir.
Nasıl Önlenir?
- Varsayılan ayarları değiştirin (özellikle admin parolalarını).
- Kullanılmayan portları, servisleri ve kütüphaneleri kaldırın.
- Üretim (production) ortamında asla detaylı hata mesajlarını son kullanıcıya göstermeyin. Hataları loglayın (kayıt altına alın) ancak kullanıcıya “Beklenmedik bir hata oluştu” gibi genel bir mesaj gösterin.
- Güvenlik başlıklarını (HTTP Security Headers) yapılandırın (Content Security Policy, X-Content-Type-Options vb.).

A06:2021 – Zafiyetli ve Güncel Olmayan Bileşenler (Vulnerable and Outdated Components)

Modern uygulamalar, onlarca hatta yüzlerce üçüncü parti kütüphane (third-party library) ve framework kullanır. Eğer kullandığınız bir kütüphanede (örn: jQuery, Log4j, Express) bir güvenlik açığı varsa ve siz bu kütüphaneyi güncellemezseniz, uygulamanız da otomatik olarak zafiyetli hale gelir.

Örnek Senaryo: Apache Log4j kütüphanesindeki “Log4Shell” zafiyeti, dünya çapında milyonlarca sunucuyu etkiledi. Bu kütüphaneyi kullanan ancak güncellemeyen herkes, uzaktan kod çalıştırma (RCE) saldırılarına maruz kaldı.
Nasıl Önlenir?
- SCA (Software Composition Analysis) araçları kullanın. Bu araçlar projenizdeki tüm bağımlılıkları (dependencies) tarar ve bilinen zafiyetleri (CVE) raporlar. (Örn: OWASP Dependency-Check, Snyk, Dependabot).
- Sadece güvendiğiniz kaynaklardan kütüphane edinin.
- Bağımlılıklarınızı düzenli olarak güncelleyin.

A07:2021 – Tanımlama ve Kimlik Doğrulama Hataları (Identification and Authentication Failures)

Kullanıcı kimliğinin, oturum yönetiminin ve kimlik doğrulama süreçlerinin yanlış uygulanmasıdır. Parola sıfırlama mekanizmalarının zayıf olması, oturum (session) ID’lerinin kolay tahmin edilebilir olması gibi durumları kapsar.

Riskli Kod Örneği (Oturum Yönetimi):

// KULLANICI GİRİŞ YAPTIĞINDA
// Oturum ID'si sabit kalıyor, bu "Session Fixation" zafiyetine yol açabilir.
$_SESSION['logged_in'] = true;
$_SESSION['user_id'] = $user->id;

Güvenli Kod Örneği (Oturum Yönetimi):

// KULLANICI BAŞARILI GİRİŞ YAPTIĞINDA
// Oturum kimliğini yeniden oluşturarak (regenerate) Session Fixation'ı engelle
session_regenerate_id(true); 

$_SESSION['logged_in'] = true;
$_SESSION['user_id'] = $user->id;

Nasıl Önlenir?
- Çok Faktörlü Kimlik Doğrulama (MFA) uygulayın.
- Başarısız giriş denemelerinde “rate limiting” (hız sınırı) ve “account lockout” (hesap kilitleme) mekanizmaları kullanın (Brute-force saldırılarını önlemek için).
- Oturum ID’lerini (Session ID) URL’lerde taşımayın.
- Kullanıcı giriş yaptığında veya yetki değiştirdiğinde oturum kimliğini yeniden oluşturun (session_regenerate_id).

A08:2021 – Yazılım ve Veri Bütünlüğü Hataları (Software and Data Integrity Failures)

Bu zafiyet, yazılım güncellemelerinin veya CI/CD pipeline’ının güvenli olmaması sonucu, kodun veya verinin bütünlüğünün bozulmasıdır. Örneğin, güvenli olmayan bir kaynaktan gelen bir kütüphaneyi doğrulamadan kullanmak veya “deserialization” (seri durumdan çıkarma) zafiyetleri.

Örnek Senaryo: Bir uygulama, kullanıcının profil ayarlarını bir “cookie” (çerez) içinde şifrelenmiş bir nesne olarak saklıyor. Saldırgan bu nesneyi çözüp, kendi yetkisini “admin” olarak değiştirip, tekrar şifreleyip sunucuya gönderirse (Insecure Deserialization), bu bir bütünlük hatasıdır.
Nasıl Önlenir?
- Yazılım güncellemelerini ve bağımlılıkları dijital imzalarla doğrulayın.
- CI/CD pipeline’ınıza müdahale edilmesini engelleyin (örneğin, main branch’ine doğrudan push atılmasını engelleyin, “protected branches” kullanın).
- Güvenilmeyen kaynaklardan gelen verilerin seri durumdan çıkarılması (deserialization) konusunda çok dikkatli olun.

A09:2021 – Güvenlik Günlüğü (Logging) ve İzleme Hataları (Security Logging and Monitoring Failures)

Yeterli loglama (kayıt tutma) ve izleme (monitoring) yapılmaması, bir saldırı gerçekleştiğinde bunu fark etmenizi veya saldırının nasıl gerçekleştiğini analiz etmenizi imkansız hale getirir.

Örnek Senaryo: Bir saldırgan, sisteminize defalarca başarısız giriş denemesi yapıyor (brute force). Eğer siz bu başarısız denemeleri loglamıyor ve belirli bir eşiği aştığında (örn: 1 dakikada 100 başarısız deneme) bir uyarı (alert) oluşturmuyorsanız, saldırıdan haberiniz olmaz.
Nasıl Önlenir?
- Tüm kritik işlemleri (giriş denemeleri, parola sıfırlama, yetki değişiklikleri, kritik veri erişimi) loglayın.
- Logların hassas bilgileri (parola, kredi kartı vb.) içermediğinden emin olun.
- Logları merkezi bir yerde (örn: ELK Stack, Splunk) toplayın.
- Anormal aktiviteler için (örn: gecenin 3’ünde bir admin hesabından 5000 kayıt silinmesi) otomatik uyarı mekanizmaları (alerting) kurun.

A10:2021 – Sunucu Tarafı İstek Sahteciliği (Server-Side Request Forgery – SSRF)

SSRF, bir saldırganın, zafiyetli bir sunucuyu kullanarak kendi adına (ve sunucunun IP’siyle) başka sunuculara (genellikle iç ağdaki) istekler göndermesini sağlamasıdır.

Riskli Kod Örneği (Python/Flask):

# Kullanıcıdan bir URL alıp, o URL'in içeriğini çeken bir servis
@app.route('/fetch_image')
def fetch_image():
    image_url = request.args.get('url')
    # ZAFİYET: Sunucu, kullanıcının verdiği herhangi bir URL'e istek atıyor.
    response = requests.get(image_url)
    return response.content

Saldırgan, url=http://127.0.0.1:8080/admin veya url=http://192.168.1.1/database_backup gibi iç ağdaki adreslere istek atarak sunucuyu tarayabilir.

Güvenli Kod Örneği (Python/Flask):

@app.route('/fetch_image')
def fetch_image():
    image_url = request.args.get('url')

    # GÜVENLİK: Sadece izin verilen alan adlarına (whitelist) istek atılmasına izin ver.
    allowed_domains = ['images.example.com', 'cdn.myprovider.com']

    if any(domain in image_url for domain in allowed_domains):
        response = requests.get(image_url)
        return response.content
    else:
        return "İzin verilmeyen alan adı.", 403

Nasıl Önlenir?
- Sunucunun istek atacağı URL’ler için katı bir “beyaz liste” (whitelist) kullanın.
- Uygulamanın iç ağdaki kaynaklara (metadata servisleri, veritabanları) erişimini kısıtlayın.
- Kullanıcıdan gelen URL’i mutlaka doğrulayın ve yeniden yönlendirmeleri (redirects) takip etmeyi engelleyin.

DevSecOps: Güvenliği CI/CD Pipeline’ına Entegre Etmek

OWASP Top 10 zafiyetlerini bilmek savaşın yarısıdır. Diğer yarısı ise bu zafiyetlerin kod tabanınıza girmesini otomatik olarak engellemektir. Manuel kontroller ve kod incelemeleri (code review) önemlidir ancak yavaş ve hataya açıktır. Modern yazılım geliştirmede (DevOps), bu kontrollerin CI/CD pipeline’ına entegre edilmesi gerekir. Buna DevSecOps denir.

Bir CI/CD pipeline’ı genellikle şu adımlardan oluşur: Build (Derleme) -> Test (Birim Testleri) -> Deploy (Dağıtım).

DevSecOps, bu adımların arasına ve içine güvenlik kontrollerini yerleştirir. İşte bu entegrasyon için kullanılabilecek (birçoğu açık kaynaklı) araç türleri ve stratejileri:

1. Statik Uygulama Güvenlik Testi (SAST – Static Application Security Testing)

SAST araçları, uygulamanız çalışmıyorken, doğrudan kaynak kodunuzu tarar. SQL Enjeksiyonu, Kırık Erişim Kontrolü ipuçları veya güvensiz kütüphane kullanımları gibi potansiyel zafiyetleri kodunuzu derlemeden (veya çalıştırmadan) önce bulur.

Açık Kaynaklı Araç Örnekleri:
- SonarQube: En popüler açık kaynaklı (Topluluk Sürümü) kod kalitesi ve güvenliği platformudur. Kodunuzdaki “code smell” (kötü kod kokuları), hatalar ve güvenlik zafiyetlerini (OWASP Top 10 odaklı) bulur.
- Bandit: Özellikle Python projeleri için tasarlanmış bir SAST aracıdır.
- ESLint (Security Plugin ile): JavaScript/Node.js projelerinde bilinen güvensiz kalıpları (pattern) bulur.
CI/CD Entegrasyonu (Örnek GitLab CI/CD):

# .gitlab-ci.yml dosyası
stages:
  - build
  - test
  - sast
  - deploy

sast_job:
  stage: sast
  image: sonarsource/sonar-scanner-cli:latest
  script:
    - sonar-scanner \
        -Dsonar.projectKey=my_project \
        -Dsonar.sources=. \
        -Dsonar.host.url=http://your-sonarqube-server \
        -Dsonar.login=$SONAR_LOGIN_TOKEN
  allow_failure: false # Güvenlik taraması başarısız olursa pipeline'ı durdur

2. Yazılım Kompozisyon Analizi (SCA – Software Composition Analysis)

Bu araçlar, projenizin package.json, requirements.txt, pom.xml gibi bağımlılık (dependency) dosyalarını tarar ve bilinen güvenlik açıklarına (CVE – Common Vulnerabilities and Exposures) sahip üçüncü parti kütüphaneler kullanıp kullanmadığınızı kontrol eder. (OWASP A06 Zafiyeti).

Açık Kaynaklı Araç Örnekleri:
- OWASP Dependency-Check: Java, .NET, Node.js, Python ve daha birçok dil için bağımlılıkları tarayan popüler bir araçtır.
- Trivy (Aqua Security): Konteyner imajlarını taramasının yanı sıra, proje bağımlılıklarını da (SCA) tarayabilir.
- GitHub Dependabot / GitLab Dependency Scanning: Bu platformlar artık yerleşik SCA özellikleri sunmaktadır.
CI/CD Entegrasyonu (Örnek Jenkins Pipeline):

// Jenkinsfile (Pipeline script)
stage('Security (SCA)') {
    steps {
        script {
            // OWASP Dependency-Check Jenkins eklentisi kullanılır
            dependencyCheck additionalArguments: '--scan ./ --format HTML', odcInstallation: 'Dependency-Check-Tool'
            // Raporları arşivle
            dependencyCheckPublisher pattern: 'dependency-check-report.html'
        }
    }
}

3. Dinamik Uygulama Güvenlik Testi (DAST – Dynamic Application Security Testing)

DAST araçları, uygulamanız çalışır durumdayken (genellikle “staging” veya “test” ortamında) ona dışarıdan bir saldırgan gibi davranarak zafiyet aramaya çalışır. SQL Enjeksiyonu, XSS (Cross-Site Scripting) veya Güvenlik Ayar Hatalarını (A05) test etmek için idealdir.

Açık Kaynaklı Araç Örneği:
- OWASP ZAP (Zed Attack Proxy): DAST için endüstri standardı haline gelmiş, son derece güçlü bir açık kaynaklı araçtır. Pipeline’da “baseline scan” (hızlı tarama) veya “full scan” (detaylı tarama) modlarında çalıştırılabilir.
CI/CD Entegrasyonu (Örnek GitLab CI/CD):

# .gitlab-ci.yml dosyası (DAST aşaması)
# Bu aşama, uygulamanın 'staging' ortamına deploy edilmesinden sonra çalışır.

dast_job:
  stage: dast
  image: owasp/zap2docker-stable
  script:
    # ZAP Baseline Scan (hızlı tarama)
    - zap-baseline.py -t https://staging.example.com -r report.html
  artifacts:
    paths: [report.html]
    when: always

4. Konteyner ve Altyapı Güvenliği (Container & IaC Scanning)

Modern uygulamalar genellikle Docker/Kubernetes gibi konteyner teknolojileri üzerinde çalışır.

Konteyner Tarama: Konteyner imajınızın (image) işletim sistemi katmanlarındaki bilinen zafiyetleri tarar. Trivy veya Clair gibi araçlar bu iş için kullanılır.
IaC (Infrastructure as Code) Tarama: Altyapınızı (sunucular, ağ ayarları) kodla (örn: Terraform, Ansible) yönetiyorsanız, bu kodları tarayarak güvenlik yapılandırma hatalarını (örn: herkese açık S3 bucket’ı) bulur. tfsec veya checkov gibi araçlar kullanılır.

Güvenlik Bir Varış Noktası Değil, Sürekli Bir Yolculuktur

Güvenli kodlama, “bir kez yap ve unut” bir görev değildir. Bu, sürekli bir öğrenme, uygulama ve otomasyon sürecidir. OWASP Top 10, geliştiricilere en kritik risklerin neler olduğunu gösteren bir pusula sağlar. CI/CD entegrasyonu (DevSecOps) ise bu riskleri kod tabanınıza girmeden yakalayan bir “otomatik güvenlik ağı” kurmanıza olanak tanır.

Açık kaynaklı SAST, DAST ve SCA araçlarını pipeline’ınıza entegre ederek, güvenliği yavaşlatıcı bir engel olmaktan çıkarıp, yazılım kalitesinin ayrılmaz bir parçası haline getirebilirsiniz. Unutmayın, en güçlü dijital kale, temelleri güvenli kodlama standartlarıyla atılmış, duvarları sürekli otomasyon testleriyle güçlendirilmiş kaledir…

⚠️ YASAL UYARI: Lütfen Dikkat! Sitemizi kaynak göstermeden alıntı kesinlikle yapmayınız!!!