Skip to content
Yusuf Özdemir
İş Başvurularında Gönderilen Demo Projelere Dikkat
ALL ARTICLES

İş Başvurularında Gönderilen Demo Projelere Dikkat

5 MIN READ 894 WORDS
ALSO IN English

Test Görevi Gibi Görünen Dosyalar Bilgisayarınızı Tehlikeye Atabilir

Son yıllarda işe alım süreçlerinde demo projeler ve teknik görevler oldukça yaygın hale geldi. Yazılım geliştirme, veri analizi, siber güvenlik ve tasarım gibi alanlarda adaylardan küçük uygulamalar geliştirmeleri veya mevcut projeleri incelemeleri isteniyor.

Doğru kullanıldığında bu yöntem adayın yetkinliğini ölçmek için oldukça faydalıdır. Ancak aynı mekanizma, kötü niyetli kişiler tarafından bir saldırı yüzeyi olarak da kullanılabilir.

Süreç genellikle basittir:
Bir iş ilanına başvurursunuz, kısa bir görüşme yapılır ve ardından size bir proje dosyası gönderilir.

Görevler genelde şu şekilde görünür:

  • Uygulamayı çalıştır ve belirli bir ekranı güncelle
  • Bir hatayı düzelt
  • API entegrasyonunu tamamla
  • Veritabanı bağlantısını yapılandır

Bu noktada birçok aday dosyayı indirip doğrudan çalıştırır. Risk tam olarak burada başlar.

Risk Nerede Başlıyor?

Bir projenin kaynak kod olarak paylaşılması, güvenli olduğu anlamına gelmez. Çalıştırılan bir proje yalnızca görünen arayüzü değil, arka planda birçok işlemi de tetikleyebilir.

Örneğin:

  • Zararlı script’ler çalışabilir
  • Sisteme arka kapı (backdoor) bırakılabilir
  • Tarayıcı oturumları hedef alınabilir
  • Kripto cüzdanlar taranabilir
  • SSH veya API anahtarları kopyalanabilir
  • Dosyalar dışarı aktarılabilir

Bu işlemler kullanıcı fark etmeden gerçekleşebilir.

Özellikle kaynağı belirsiz ZIP dosyaları, Git geçmişi olmayan projeler veya şeffaf olmayan işe alım süreçleri ekstra dikkat gerektirir.

“Kodu İncelerim, Bir Şey Olmaz” Yeterli Değil

Birçok geliştirici çalıştırmadan önce kodu kontrol ettiğini düşünür. Ancak modern projelerde bu her zaman yeterli değildir.

Çünkü risk yalnızca uygulama kodunda değil, tüm ekosistemdedir:

  • Bağımlılıklar (npm, pip vb.)
  • Kurulum script’leri
  • Build süreçleri
  • Docker yapılandırmaları
  • CI/CD akışları
  • Git hook’ları
  • IDE otomasyonları

Örneğin:

  • package.json içindeki preinstall, postinstall script’leri
  • Dockerfile içindeki çalıştırma komutları
  • setup.py veya requirements.txt üzerinden tetiklenen işlemler
  • Makefile ve shell script’leri

Bunların tamamı proje çalıştırıldığında otomatik olarak devreye girebilir.

Güvenli Yaklaşım: İzole Ortam Kullanın

Demo projeleri asla doğrudan ana bilgisayarınızda çalıştırmayın.

İçinde kişisel dosyalarınızın, şifrelerinizin veya iş hesaplarınızın bulunduğu sistemler test ortamı değildir.

Bunun yerine:

1. Sanal Makine

VirtualBox veya VMware gibi araçlarla izole bir sistem oluşturabilirsiniz.

  • Ana sistemden tamamen ayrıdır
  • Kolayca sıfırlanabilir
  • Riskli testler için idealdir

2. Ayrı Test Cihazı

Sadece test amaçlı kullanılan ikinci bir bilgisayar kullanılabilir.

  • Kişisel hesaplar içermez
  • Kritik veriler barındırmaz
  • Deney ortamı olarak kullanılır

3. Bulut Ortamları

Geçici sanal makineler veya bulut geliştirme ortamları da tercih edilebilir.

  • İş bittikten sonra tamamen kapatılabilir
  • Kalıcı risk bırakmaz

Çalıştırmadan Önce Kontrol Edilmesi Gerekenler

Bir projeyi çalıştırmadan önce şu sorular sorulmalı:

  • Gönderen kişi gerçekten şirketi temsil ediyor mu?
  • Kurumsal bir e-posta adresi kullanılıyor mu?
  • Süreç şirketin resmi işe alım akışıyla uyumlu mu?
  • Proje geçmişi olan bir Git deposu mu?
  • Yoksa yeni açılmış ve boş bir hesap mı?

Bu sorular kesin cevap vermez ama risk seviyesini anlamaya yardımcı olur.

Teknik Risk İşaretleri

Aşağıdaki durumlar ekstra dikkat gerektirir:

  • Şifre korumalı ZIP dosyaları
  • Çalıştırılabilir EXE dosyaları
  • Obfuscation uygulanmış kodlar
  • Yönetici (admin) yetkisi isteyen kurulumlar
  • Antivirüs devre dışı bırakma talepleri
  • Çok sayıda dış kaynaktan dosya indiren script’ler
  • Açıklanmayan PowerShell veya shell komutları
  • Şüpheli binary veya sıkıştırılmış içerikler

Bu tür durumlarda proje mutlaka daha derin incelenmelidir.

Güvenlik Alışkanlığı Olarak Yeni Yaklaşım

Eskiden işe alım süreçlerinde en büyük risk sahte ilanlardı. Bugün ise teknik görevler de aynı derecede riskli hale gelmiş durumda.

Bir projeyi çalıştırmadan önce güvenliğini sorgulamak paranoya değil, profesyonel bir alışkanlıktır.

Nasıl bilinmeyen bir e-posta ekini doğrudan açmıyorsak, kaynağı doğrulanmamış bir projeyi de doğrudan çalıştırmamalıyız.

İş fırsatlarını değerlendirirken yalnızca şirket sizi değerlendirmez; siz de süreci ve gönderilen dosyaları değerlendirmelisiniz.

Kısa Kural

Bir işe alım görevi için gönderilen projeye, internette bulduğunuz bilinmeyen bir çalıştırılabilir dosya gibi yaklaşın.

Güvenilir görünmesi, güvenli olduğu anlamına gelmez. Önce inceleyin, mümkünse izole bir ortamda test edin, ardından çalıştırın.

More to read