MLOps Nedir:

MLOps(Machine Learning Operations ) makine öğrenmesi modellerinin tasarlanması, geliştirilmesi, dağıtılması ve canlı ortamlarda yönetilmesi gibi süreçleri otomatikleştiren bir disiplindir. Veri bilimi, veri mühendisliği ve DevOps gibi alanları birleştirerek modellerin sürdürülebilir ve güvenli şekilde canlıya alınmasını amaçlar. DevOps yazılım geliştirme süreçlerini otomatikleştirirken, MLOps’da ek olarak model geliştirme, izleme ve veri yönetimi de eklenir döngüye eklenir.

Neden Kullanılır:

MLOps model üretim süreçlerine hızlı canlıya alma imkanı, versiyonlama ve farklı ortamlarda tutarlı çalışma sağlamak için kullanılır. Eğitim, test ve canlıya alma süreçlerini otomatikleştirir, model davranışını canlı olarak izlememize ve performans düşüşlerinden en hızlı şekilde haberdar olmamızı sağlar. Veri bilimciler, veri mühendisleri ve operasyon ekipleri (DevOps) arasında ortak bir dil ve iş akışı sağlar. Süreç boyunca DVC (Data Version Control), Kubeflow ve MLFlow gibi araçlar kullanılabilir.

MLOps Adımları:

Her şeyden önce çıkarmak istediğimiz ürünün hangi sorunu çözeceğini net bir şekilde belirlememiz gerekir. Daha sonra modelden ne kadar başarı beklediğimiz ve kullanım alanlarını da tanımladıktan sonra aşağıdaki adımlarla devam edebiliriz.

1) Veri Toplanması: Veri toplama tüm sürecin başlangıç noktasıdır. Bu aşamada hangi kaynaklardan gelen verinin kullanılacağı ve verinin güvenilirliği, kalitesi gibi sorulara odaklanılır. Çalışılan alanla en alakalı veri setlerinin bulunması gerekir.

2) Veri Analizi: EDA (Exploratory Data Analysis) olarak bilinen bu süreçte verinin genel karakteristiği, hangi niteliklerin (feature) model tarafından kullanılacağı ve en fazla etki yaratacağıyla ilgili bilgi edinilmeye çalışılır.

3) Veri Hazırlığı: Toplanan ve analiz edilen veri setinin modelle temas etmeye hazır hale getirilmesidir. Eksik verilerle ilgili gerekenlerin yapılması ve veri setinin train/valid/test bölümlerine ayrılması bu aşamada gerçekleştirilir.

4) Model Eğitimi: MLOps sürecinin can alıcı noktalarından biridir. Bu aşamada hazırlanan veri farklı makine öğrenmesi algoritmalarıyla buluşur ve sonuçlar karşılaştırılır. Aynı zamanda model eğitiminde kullanılan hiperparametrelerin (hyperparameter) değişiminin model davranışına etkileri gözlemlenerek ince ayarlar yapılır. Bu hiperparametre değerleri tekrarlanabilirlik sağlamak için kaydedilir.

5) Değerlendirme: Eğitimi tamamlanan modelin daha önceden hazırlamış olduğumuz test veri seti kullanılarak değerlendirildiği adımdır. Bu adımdan elde edilen sonuçlar modelin başarısıyla ilgili önemli bilgiler verir. Buradaki bulgular model performansının geliştirilmesi amacıyla kullanılır.

6 ve 7) Model Doğrulaması ve Yayınlanması: Bu iki aşamada model canlıya alınmak için uygun bulunursa gerçek ortama sunulur ve artık tahminler yapmaya başlar.

8) Gözlem (Monitoring): Model canlıya çıktığı için gerçek dünyada elde ettiği sonuçlar sürekli olarak değerlendirilir ve yapılabilecek iyileştirmelere karar verilir. Gözlem sırasında bir hata fark edilirse hatanın kaynaklandığı adım bulunarak gerekli işlemler yapılır.

MLOps Rolleri:

1-)Veri Bilimci: Verilerin değerlendirilmesi, işlenmesi ve modelin eğitilmesinde görev alabilir. Bazı organizasyonlarda modelin izlenmesi(monitoring) aşamalarına da dahil olabilirler.

2-)Veri Mühendisi: Verilerin toplanması, uygun şekilde depolanması ve altyapısal yönetimiyle ilgilenirler. Modelin eğitimi için gerekli olan veriler için boru hattının (pipeline) oluşturulması, veri tabanı yönetimi, bulut sistemlerin ve dağıtık sistemlerin sürece nasıl dahil olacağıyla ilgili teknik konularda çalışırlar.

3-)ML Architect: ML Architect, MLOps süreçlerinde kullanılacak stratejileri, mimari planları ve iş akışlarını oluşturur ve yaşam döngüsündeki olası riskleri belirler. En uygun araçları seçip değerlendirir ve projede çalışacak mühendis ile geliştiricilerden oluşan ekibi bir araya getirir. Proje yaşam döngüsü boyunca MLOps süreçlerini denetler. Data scientist, data engineer ve software developer’ların çalışmalarını ortak bir hedef etrafında birleştirir.

4-) Software Developer Software Developer, data engineer ve data bilimcilerle birlikte çalışarak ML modellerinin üretime alınması ve bunu destekleyen altyapının kurulması üzerine odaklanır. ML Architect’in hazırladığı mimari planlar doğrultusunda çözümler geliştirir. Bu süreçte gerekli araçları seçip oluşturur ve risk azaltma stratejilerini hayata geçirir.

5-) Alan Uzmanı (Domain Expert / Business Translator): Alan uzmanı ya da iş tercümanı, iş alanına ve süreçlerine dair derinlemesine bilgiye sahip kişidir. Teknik ekibin neyin mümkün olduğunu anlamasına ve iş problemini bir ML problemine nasıl dönüştüreceğine yardımcı olur. Aynı zamanda iş ekibinin, modellerin sunduğu değeri ve bu modellerin nasıl kullanılacağını kavramasını sağlar. Verinin daha iyi anlaşılmasının kritik olduğu her aşamada belirleyici bir rol üstlenebilir.

6-)MLOps Engineer: Modellerin sürekli ve güvenilir şekilde üretimde çalışmasını sağlar. CI/CD pipeline’ları, model versiyonlama (MLflow, DVC), deployment stratejileri (canary, blue-green), monitoring (data drift, model drift, performans metrikleri) ve otomatik retraining süreçlerinden sorumludur. DevOps prensiplerini ML’e uyarlar.

Tabiki her organizasyonda bu roller değişerek farklı şekillerde karşımıza çıkabilir. Bu nedenle bu rollerin tanımları kesin ve değişmez değildir. Roller farklı ihtiyaçları karşılamak için birbirleriyle etkileşim halindedir.

Yeni Başlayanlar İçin MLOps Yol Haritası: Sıfırdan Canlıya

Eğer bu alana yeni adım atıyorsan, devasa araç listeleri arasında boğulmadan takip etmen gereken net yol haritasını sizlerle aşağıda paylaşıyoruz:

1. Aşama: Temelleri Sağlamlaştır (Mutfak)

Doğrudan MLOps araçlarına atlamadan önce, üzerine inşa edeceğin temeli iyi bilmelisin.

• Python ve Yazılım Pratikleri: Clean code (temiz kod) yazmayı, modüler programlamayı ve nesne yönelimli programlama (OOP) mantığını kavra.
• Git & GitHub: Kodunun versiyonunu kontrol edemiyorsan, modelini hiç yönetemezsin. Dallanma (branching) ve PR (pull request) süreçlerini öğren.
• Temel ML Kültürü: Bir modelin nasıl eğitildiğini, aşırı öğrenmeyi (overfitting) ve metrikleri (Accuracy, F1-Score vb.) iyi bil.

2. Aşama: Kodunu ve Ortamını İzole Et (Kutulama)

Modelinin “sadece senin bilgisayarında” çalışması hiçbir işe yaramaz. Her yerde aynı şekilde çalışmasını sağlamalısın.

• Sanal Ortamlar: venv veya conda kullanarak kütüphane bağımlılıklarını yönetmeyi alışkanlık haline getir.
• Docker Öğren: MLOps’un kalbi Docker’dır. Kodunu, modelini ve tüm bağımlılıklarını bir Docker imajı (container) haline getirmeyi mutlaka öğren.

3. Aşama: Deneylerini ve Modellerini Takip Et (Kayıt Defteri)

Onlarca farklı parametre ile model eğiteceksin. Hangisinin en iyi sonucu verdiğini aklında tutamazsın.

• Deney Takibi (Experiment Tracking): MLflow veya Weights & Biases (WandB) araçlarından birini seç. Hangi veriyle, hangi parametreyle hangi sonucu aldığını kayıt altına al.
• Model Kayıt Defteri (Model Registry): Eğittiğin en iyi model dosyalarını (.pkl, .onnx vb.) versiyonlayarak saklamayı öğren.

4. Aşama: Modeli Dış Dünyaya Aç (Dağıtım / Deployment)

Modelin hazır, peki yazılımcılar buna nasıl erişecek?

• API Oluşturma: FastAPI veya Flask kullanarak modeline bir API giydir. Dışarıdan veri alan ve geriye tahmin (prediction) dönen bir servis yarat.
• Model Sunumu (Model Serving): Docker içine gömdüğün bu API’yi yerel bilgisayarında veya bulutta ayağa kaldırarak test et.

5. Aşama: Süreci Otomatikleştiri ve İzle (Sürekli Döngü)

MLOps’u “Ops” yapan son dokunuş:

• Temel CI/CD: Kodun her güncellendiğinde testlerin otomatik çalışmasını ve modelin otomatik olarak Docker imajına dönüşmesini sağla (GitHub Actions başlangıç için gerçekten kullanışlı bir seçenek).
• İzleme (Monitoring): Canlıya çıkan model zamanla eskir veya gelen veriler değişebilir (Data Drift). Modelin performansını ve gelen istekleri loglamayı prensip edinin.

💡 Yeni Başlayanlar İçin Altın Tavsiye

Hepsini aynı anda öğrenmeye çalışma. Kendine küçük bir proje seç (örneğin basit bir fiyat tahmin modeli). Önce bunu Docker’a göm, sonra FastAPI ile API yap, en son MLflow ekle. Parçaları birleştire birleştire ilerlerlemeye çalış.

Not: Bu yazıdaki tüm görseller Google’ın ürettiği Gemini’ın yerleşik görüntü üretim modeli Imagen-3 tarafından oluşturulmuştur.

Referanslar:

• MLOps: Continuous delivery and automation pipelines in machine learning | Cloud Architecture Center | Google Cloud Documentation
• Continuous Integration and Continuous Deployment (CI/CD) in MLOps - GeeksforGeeks
• MLOps roles | 7 key responsibilities in enterprise MLOps teams

NER Nasıl Çalışır?

Modern NER sistemleri bir kelimenin sınıflandırılması için derin öğrenme (Deep Learning) süreçlerinden yararlanır. Öncelikle verilen metnin tokenize edilmesiyle işleme başlanır. Tokenizing, metni bireysel parçalara ayırır. Daha sonra bu token’lar arasındaki ilişkiler, Transformer gibi daha sofistike mimariler kullanılarak anlaşılmaya çalışılır. Mesela bir bağlamda “yüz” kelimesi denizde yüzmek anlamında kullanılabileceği gibi, başka bir bağlamda insan yüzü anlamına gelebilir. Bu, Transformer’ların self-attention mekanizması ve kelimelerin etrafındaki kelimelerle bağlantısının analiz edilmesinden gelmektedir. Kelimeler diğer yöntemlede sabit bir vektöre sahiptir. Transformer mimarisindeyse farklı bağlamlara göre aynı kelime için farklı vektörler kullanılır yani kelimenin anlamı etrafındaki diğer kelimeler ve anlamalar dikkate alınarak belirlenir.

NER Kullanım Alanları

Akıllı Müşteri Desteği: Müşterilerin şikayet, öneri veya olumlu yorumları sınıflandırılarak hangi konuda şikayet ettikleri anlaşılabilir. Mesela bir restoranda belirli bir yemeği beğenmeyen müşteri “yediğim makarna çok pişmişti” gibi bir yorum yaptığında, bu cümleden şikayet edilen ürünün makarna olduğu ve şikayet sebebinin aşırı pişmiş olması olduğu ayırt edilip daha hızlı çıkarımlarda bulunulabilir.

Finansal Analizler: Çeşitli haber ve finans kaynaklarında yapılacak NER analizleri, piyasa değer tahminleri yaparken bize yardımcı olabilir. Örneğin bir haberde geçen şirket isimleri, para birimleri ve tarihler otomatik olarak tespit edilerek finansal modellere beslenebilir.

İçerik Önerisi: Bir kullanıcının okuduğu haberlerin incelenmesi sonucunda, okunan haberlerdeki varlıklar kategorilere ayrılarak kullanıcının daha çok hangi içeriklerin geçtiği haberleri okuduğu anlaşılabilir; ileriki süreçlerde bu kullanıcıya benzer haberler önerilebilir.

⚠️ Karıştırılmamalıdır

NER; görüntü sınıflandırma, anahtar kelime çıkarma, duygu analizi gibi farklı süreçlerle karıştırılmamalıdır. Bunlar da yapay zekanın inceleme alanına giren farklı görüntü işleme ve doğal dil işleme yöntemleridir. Yine de görüntü analiz modelleriyle birleştirilerek görsel verilerin metin açıklamalarıyla ilişkilendirilmesi ve tespit edilmesi sağlanabilir.

Uygulama

NER’i kendiniz uygulamak için popüler ve açık kaynak kütüphaneler olan NLTK ve spaCy, önceden eğitilmiş pipeline’larıyla kullanılabilir. Türkçe NER için spaCy’nin tr_core_news_trf modeli veya Hugging Face üzerindeki Türkçe BERT tabanlı modeller iyi bir başlangıç noktasıdır.

Size daha fazla buna benzer yazı görmek için alkış bırakmayı ve takip etmeyi öneriyorum.Ama siz yapmasanız bile buraya kadar geldiyseniz Medium bunu sizin için yapabilir.

CIA Triad isim olarak İngiliz gizli servisi CIA’i andırsa da aralarında anlamsal bir bağlantı bulunmuyor. Ancak anımsamak açısından her ikisi de güvenlik ve gizlilikle ilgili konularla ilgilendiğinden, gerekirse bu şekilde bir kodlama yapabilirsiniz. CIA Triad; Confidentiality, Integrity ve Availability kavramlarının baş harflerinden geliyor. İsterseniz bu kavramları birer birer aşağıda inceleyelim.

Confidentiality (Gizlilik): Verinin gizliliğinden bahseden bu kavram; bilgilerin sızdırılmasını önlemek ve yalnızca yetkili kişiler tarafından görüntülenmesini garanti etmek olarak tanımlanabilir. Yani bilgiye sadece hedef kitlenin ulaşması ve yetkisiz dış kaynaklara kapalı olması esastır. Bunu sağlamak için şifreleme yöntemleri (encryption/decryption), iki faktörlü kimlik doğrulama (two-factor authentication) ve erişim kontrolü (access control) gibi mekanizmalar kullanılır. Bunların yanı sıra organizasyon içi görev paylaşımında da en az ayrıcalık ilkesine (principle of least privilege) dikkat edilmesi önerilir; yani her çalışanın yalnızca göreviyle ilgili verilere erişimi olmalıdır.

Integrity (Bütünlük): Bilginin bütünlüğünü ve olduğu gibi korunduğunu, yetkisiz kaynaklar tarafından değiştirilmediğini ifade eder. Mesela bir mesaj aktarımı sırasında araya giren biri mesajın içeriğini değiştirdiğinde, buna dair bir uyarı almamız gerekmektedir. Bu örnek pek çok farklı senaryoya da uygulanabilir. Peki bütünlük nasıl kontrol edilir? Bu noktada birden fazla yöntem devreye girse de en yaygın kullanılanlardan biri hashing’dir. Hashing, veriyi sabit boyutlu ve özgün bir karakter dizisine (string) dönüştürür; bu sayede veri değiştirildiğinde hash değeri de değişeceğinden yapılan müdahaleler fark edilebilir. Tek bir karakter değişikliği bile tamamen farklı bir hash değeri üretebilir. Bunların yanı sıra dijital sertifikalar ve dijital imzalar da veri bütünlüğünü korumak için yaygın olarak kullanılan yöntemler arasındadır.

Availability (Erişilebilirlik): Sisteme ve verilere istenildiği zaman erişilebilmesi anlamına gelir. Verilerin herhangi bir zaman diliminde erişim dışı kalmasının engellenmesi gerekliliğini belirten bu prensip, büyük ve küçük tüm organizasyonlar için kritik önem taşır. Bu erişim garantisi, sistem güncellemeleri yapılırken bile sağlanmalıdır; örneğin bir uygulamaya yama uygulanırken kullanıcıların uygulamaya erişmeye devam edebilmesi hedeflenir. Bunu somutlaştırmak gerekirse: İçinde yedek parçalar bulunan bir makineyi düşünelim; bir parça arızalandığında yedekler devreye girerek makinenin çalışmasını sürdürmesini sağlar. Benzer şekilde, sistemlere yük dengeleme (load balancing) ve yedekleme (redundancy) mekanizmaları eklemek erişilebilirliği artırmanın etkili yollarından biridir. Öte yandan güvenlik açıklarının düzenli olarak tespit edilip kapatılması da büyük önem taşır. Bu açıklar kullanıcı hatalarından kaynaklanabileceği gibi teknik eksikliklerden de doğabilir. Örneğin kullanıcıların kimlik avı (phishing) saldırılarına karşı bilinçlendirilmesi, erişilebilirliği tehdit eden risklerin azaltılmasında kritik bir adımdır.

Bu yazıda CIA Triad kavramlarından ve bu prensipleri hayata geçirme yöntemlerinden bahsettik. Beğendiyseniz takip etmeyi unutmayın. Sonraki yazılarda görüşmek üzere.

Hashing aslında en basit anlatımıyla, girilen bir verinin yani input’un tek yönlü matematiksel fonksiyonlarla geri dönüştürülmesi veya çözümlenmesi zor bir hale dönüştürülmesidir. Hashing, şifrelemeden farklı olarak tek yönlüdür; yani hash’lenmiş veriyi orijinal haline döndürmek mümkün değildir. Günümüzde organizasyonların ve şirketlerin, hepimizin internet ortamında daha fazla var olmasıyla bilgi güvenliği konusu çok büyük önem kazanmıştır. İnternetteki bilgilerimizi saklamak için genelde şifreler kullanıyoruz. Peki bu şifreler aslında nasıl saklanıyor? İşte hashing tam bu noktada devreye giriyor, çünkü hashing’le saklanan şifreler ve özel bilgiler yüksek teknoloji araçlarla bile çözülemeyebiliyor. İsterseniz şimdi doğrudan konuya başlayabiliriz.

Hashing’in Bileşenleri

1-) Input Key: Hashing fonksiyonuna gönderilecek olan mesaj ya da veri.

2-) Hash Function: Input olarak girilen key’in benzersiz bir hash değerine dönüştürülmesini sağlayan matematiksel fonksiyon. Yani hashing yönteminin kalbi diyebiliriz.

3-) Hash Table: Hash value ve hash key’lerin saklandığı bir veri yapısı. Bu sayede dönüştürdüğümüz mesaj ya da veriye tekrar ulaşabiliyoruz.

Yani yukarıdaki bileşenlerden de anlaşılacağı üzere hashing yönteminde önce bir input key alıyoruz ve bunu tercih ettiğimiz fonksiyonla dönüştürüp bir veri yapısında key değeriyle birlikte saklıyoruz.

Hashing Türleri

Tahmin edilebileceği gibi aslında birçok hashing fonksiyonu mevcut. Fakat biz burada hepsini anlatamayacağımız için bunlardan 5 tanesini seçmek istedik.

1-) LANMAN: Microsoft’un ağ işletim sistemlerinde şifre saklamak için 1980 yılında geliştirdiği LANMAN yani Microsoft LAN Manager, artık eski kabul edilse de hashing yöntemlerinin en iyi bilinen örneklerinden biri. Çalışma mantığı olarak aslında LM hash algoritmasına dayanıyor. Bu yöntemde şifre önce 14 haneye çıkarılıyor ya da düşürülüyor, yani boyut 14'e sabitleniyor. Daha sonra büyük harfe çevriliyor ve iki parçaya bölündükten sonra DES gibi başka kriptografi yöntemleri uygulanarak son halini alıyor.

2-) NTLM: Uzun ismiyle Windows New Technology LAN Manager, kullanıcı aktivitelerinin veya kimliklerinin bütünlüğünü ve güvenliğini korumayı amaçlayan bir yöntem. Kalbinde SSO (Single Sign-On) araçlarına dayanıyor; bu sayede kullanıcı şifresini bir kez girerek birden fazla sisteme erişebiliyor ve kimlik doğrulama merkezi bir yapı üzerinden yönetiliyor.

3-) Scrypt: Bu yöntem aslında bir KDF ve PBKDF; şifreleri veya verileri kriptografik anahtarlara dönüştürmemizi sağlıyor. Temel amacı brute-force saldırılarına karşı daha sağlam bir savunma sağlamak.

4-) Ethash: Ethereum network tarafından geliştirilen Ethash bir “proof of work” hashing algoritması. Ethereum varlıkları ve blok zincirleri için geliştirilmiş olan bu yöntem para transferi gibi işlemlerin daha güvenli yapılmasını sağlıyor. Hatta genel olarak şu anda Ethereum başka yöntemlere kaymış olsa da kripto piyasasında bu yöntem yaygın olarak kullanılıyor. Çözülmesi zor ama doğrulanması kolay olan bu yöntemin de kendine göre riskleri var ama bu yazıda o kadar detaylı inceleyemeyeceğiz.

5-) SHA-2 (Secure Hash Algorithm 2): Bu yöntem hashing yöntemlerinde belki de en çok bilineni olabilir. Yine veri güvenliğinin çok önemli olduğu kripto piyasasında oldukça yaygın bir kullanıma sahip. Doğrulama işlemleri, dijital kimlikler ve hatta Git gibi platformlarda versiyon kontrolünde bile kullanılıyor. Sabit boyutlu bir hashing algoritması olan bu yöntemde girilen input 256 bitlik bir hash’e dönüştürülüyor; SHA-512 gibi daha uzun çıktı üreten varyantları da mevcuttur. Tam çalışma adımları çok daha detaylı olduğu için bu konuya ayrı bir yazıda yer vermek istiyorum. O zamana kadar şunu söylemekte fayda var: şifreleme sistemleri için bu yöntemi kullanmayın, çünkü SHA-2 hızlı çalıştığı için brute-force saldırılarına karşı yeterince güvenilir değildir. Şifre saklamak için bcrypt veya Argon2 gibi yöntemler tercih edilmelidir.

Şimdi tekrar kullanım alanlarına gelirsek; hashing algoritmaları en küçük değişikliklerde bile hash değerlerini değiştirdiği için veri bütünlüğü ve doğruluğu gibi konularda sıklıkla kullanılıyor. Mesela bir dosya değiştirildiği zaman hash değeri de değişeceği için dosya üzerinde değişiklik yapıldığı anlaşılıyor. Yine şifrelerin saklanmasında, güvenli iletişim yöntemlerinde ve gizli tutulması gereken veriler için sıklıkla hashing algoritmalarına başvuruluyor.

Hashing’in Zayıf Yönleri

Çakışma (Collision): İki veya daha fazla input’un aynı hash değeriyle sonuçlandığı bu senaryo, çok büyük miktarlarda veri saklayan şirketlerde tehlike arz ediyor.

Performans (Performance): Algoritmalar her ne kadar zaman ve hafızadan verimli şekilde yararlanmaya çalışsa da algoritma tasarımının çok karmaşık olması başka riskler doğurabiliyor.

Güvenlik Açıkları: Hashing algoritmalarının tek yönlü olduğunu ve geriye döndürülmesinin, çözümlenmesinin neredeyse imkânsız olduğunu söylemiştik. Ama yine de eğer hash function tahmin edilirse ve tersine mühendislik yapılırsa (reverse engineering) sahte input’lar üretilebilir ve bu da veri güvenliğini tehlikeye atabilir.

Rainbow Table Saldırıları: Önceden hesaplanmış hash değerlerinin tutulduğu tablolar aracılığıyla hash’ten orijinal veriye ulaşılmaya çalışılır. Bu yüzden “salt” (rastgele ek veri) kullanımı önerilir; salt, aynı şifrenin her seferinde farklı bir hash üretmesini sağlayarak bu tür saldırıları büyük ölçüde engeller.

Yazıyı beğendiyseniz alkış bırakmayı ve merak ettiğiniz, yazmamı istediğiniz konuları da yorum olarak yazmayı unutmayın. İyi günler dilerim.

Test Driven Development ya da bu yazıda kullanacağımız kısa adıyla TDD, kod yazmaya başlamadan önce test yazma pratiğini ifade eder.

Temelde 3 aşamadan oluşan bu yöntemin kullanılması, alışkın olmayanlar için başlangıçta zorlayıcı gibi görünse de hızlıca bu yönteme alışabilirsiniz.

TDD’yi Neden Kullanmalıyız?

1. Kodun ne yapması gerektiği, yani hangi testleri geçmesi gerektiği, daha yazılmadan belirlenmiş olur.
2. Gerileme hataları önlenir.
3. Daha modüler ve test edilebilir bir kod ortaya çıkar.
4. Bu işlemi önceden yapmak dokümantasyon görevi görebilir.

3 Adımda TDD

RED — Önce geçmeyeceğini bildiğin bir test yazmakla işe başlanır. Bu adımda amaç, daha sonra yazacağımız kodun hangi testleri geçmesi gerektiğini önceden belirlemektir.

GREEN — Bir önceki adımda yazdığımız testi geçebilecek minimum kod yazılır. Burada amaç kodu olabildiğince basit tutmaktır.

REFACTOR — Son olarak testi geçebilen kod, clean code’a dönüştürülür. Bu adımda tasarım kalıpları ve SOLID prensipleri dikkate alınabilir. Ancak testlerin hâlâ geçmesi gerektiğini unutmadan kod test edilmelidir.

Kod Örneği

Bu adımda gerçek hayatta nasıl kullanabileceğimizi görmek için birlikte küçük bir kod örneği inceleyeceğiz.

Önce Red adımında kodumuzun geçmesini istediğimiz testleri yazıyoruz. Buranın ne kadar kapsamlı olduğu kodun ileriki güvenliğini ve sağlamlığını da belirlemiş oluyor. Bu nedenle TDD’nin bana göre en kritik noktası Red aşaması. Test yazma bittikten sonra yazacağımız kodun çerçevesi büyük ölçüde belli olmuş oluyor.

Bir sonraki adımda da yukarıda gördüğümüz testi geçebilecek en temel kodu yazmaya çalışıyoruz. Bu kodu da inceledikten sonra pratik için Refactoring aşamasını siz kendiniz deneyebilirsiniz; koda yeni testler ve özellikler ekleyebilirsiniz. Yazılarımı daha sık görmek için beni takip edebilirsiniz.

Öncelikle bu konuyu açıklamaya gerçek bir örnek üzerinden giderek başlamak istiyorum. Diyelim ki bir şirketin yazılım geliştirme departmanındasın ve yaklaşık 6 aydır bir müşteri için uygulama geliştirmeye çalışıyorsun. Aslında başlangıçta neler yapılacağını konuşmuştunuz ama teslim günü geldiğinde müşteri aslında çok farklı bir şey istediğini söylüyor.

İşte yukarıda anlattığım sorunu yaşamak istemiyorsanız kullanmanız gereken iş modeli Agile. Bu çalışma modeli 2001 yılında Silikon Vadisi’ndeki bir grup yazılımcı tarafından ortaya atılmış. Aslında temel fikir her daim dinamik olmaya dayanıyor. Çoğu kişi bu ismi duyduğunda bir araç olduğunu düşünebiliyor. Bu biraz da havalı isminden kaynaklanıyor ama aslında olay sadece zihniyet ve çalışma biçimi. Tüm süreç boyunca müşteriyle iletişim halinde olmak birinci şart. Aşağıda temel prensipleri maddeler halinde bulabilirsiniz.

1-) Bireyler ve etkileşimler Agile’da katı sınırlarla belirlenmiş süreçler ve araçlar yerine bireyler ve etkileşimler ön plana çıkar. Bu, araçlar asla önemli değildir anlamına gelmiyor. Araçlar ve süreçler tabiki önemli ama sadece bunlara takılıp müşteriyle olan ve ekip içindeki etkileşimleri geri plana atmamak gerekiyor.

2-) Çalışan Yazılım Bu madde her zaman çalışan bir yazılımın çok kapsamlı yazılmış bir dokümantasyondan daha önemli olduğunu söylüyor. Şirketler bazen müşteriye teslim edecekleri üründen daha çok yazdıkları dokümantasyonlara zaman harcayabiliyorlar. Ama teslim günü geldiğinde müşteri genelde dokümanları okumak yerine önce ürünün çalışıp çalışmadığına bakıyor. Çünkü eğer ürün çalışmıyorsa elindeki sayfalar dolusu doküman müşteri için bir anlam ifade etmiyor.

3-) Müşteriyle işbirliği ve esneklik Bence en önemlisi maddelerden biri de müşteriyle sürekli iş birliği içinde olmak. Aslında bu sürekli iletişim bir bakımdan aradaki güvenin işaretçisi. Proje başında yapılan sözleşme ve müzakerelerden sonra hiçbir değişikliği kabul etmemek müşterinin ilerleyen süreçlerde sizinle çalışma olasılığını düşürebilir. Ama bunu yanlış da anlamamak gerek. Müşteriye sürekli revizyon hakkı tanınmasından bahsetmiyorum ama çalıştığımız müşteriler yazılım bilmiyor olabilirler, projenin başında bir şeyi söylemeyi unutmuş olabilirler… Bu gibi durumlarda biraz anlayışlı olmakta fayda var. Müşteriyle süreç içinde değişen ihtiyaçlarına karşılık verecek şekilde iletişim halinde olmak her iki taraf için de sürecin verimliliğini artırıyor. Aynı zamanda dünyanın hızlı değiştiği günümüzde büyük projelerin hazırlanması aylar hatta yıllar alabiliyor ve bu süreçte ihtiyaçlar da büyük ölçüde değişiyor. Bu değişikliklerden olumlu etkilenmek için statik bir plana bağlı kalmaktansa dinamik ve değişimlere ayak uyduracak şekilde olmak daha sağlıklı.

Bu yazıda Agile modelinin ne olduğundan bahsettik. Bu konuyla ilgili daha fazla bilgi edinmek ve ileride anlatacağım SCRUM, KANBAN, SAFe ve Extreme Programming yazılarına daha kolay ulaşabilmek için beni takip edebilirsiniz. Sağlıklı günler.

Bir ornaizasyonda veriye kimlerin erişebileceği ve bu veriyi hangi şekillerde kullanabileceği en önemli güvenlik sorunlarından biridir. Erişim kontrolü modelleri temelde bulunduğumuz organizasyondaki verilerin veya bilgilerin kimler tarafından okunabileceği veya değiştirilebileceğiyle ilgili bize yol gösterir. Her farklı organizasyonda çalışanların yetkileri ve görevleri farklı olacağı için bu modellerin seçimi ihtiyaca göre belirlenir. Bu yazıda en yaygın kullanılan erişim modellerinin neler olduğundan ve hangi modellerin hangi organizasyonlar tarafından daha çok tercih edildiğinden bahsedeceğiz.

1–)The Bell-LaPadula Modeli:

1973'te David Bell ve Leonard LaPadula tarafından geliştirilen bu modelde temel amaç bilgi gizliliği yani confidentiality’dir. Genel anlamda iki temel kuralı olan bu sistemde kişi kendi seviyesinin üzerindeki veriyi okuyamaz (No Read Up) ve kendi seviyesinin altındaki verilere yazma yapamaz, onları değiştiremez (No Write Down). Yani iki kişiyi düşünürsek biri çok gizli veriye erişimi olan biri ve ikincisi daha az gizli olan bir veriye erişime sahip olan biri. İkinci kişi çok gizli veriyi okuyamaz ve birinci kişi de alt seviyelere yazma yapamaz böylece çok gizli verinin alt seviyelere sızmamasının önüne geçilmiş olur. Askeri sistemlerde ve kullanıcılara güvenin esas oldu yapılarda tercih edilebilir.

2-) The Biba Model:

Bu model 1977'de Kenneth Biba tarafından geliştirilmiştir. Bir önceki maddede bahsettiğimiz modelin tam tersi şekilde çalışan biba modelinde odak noktası bilginin bütünlüğünü (integrity) korumaktır. No Read Down yani kullanıcı kendi seviyesinin altındaki seviyeleri okuyamaz ve No Write Up kullanıcı kendi seviyesinin üzerine yazma yapamaz şeklinde iki temel prensiple çalışır. Bu yöntemle düşük bütünlük seviyesindeki verinin yüksek bütünlük seviyesindeki veriyi bozması engellenir. Daha çok finans, sağlık, kritik altyapı gerektiren organizasyonlarda kullanılır.

3-)Clark-Wilson Modeli

Bu model Biba modelini bir adım ileriye taşır. Sadece veriye kimin erişeceğini belirlemez aynı zamanda nasıl erişileceğini ve ne seviyede yetkili olunacağını da belirler. Bankacılık ve muhasebe gibi işlemlerde çokça kullanılan bu sistemde temel amaç verilere doğrudan değil yalnızca kontrollü işlemler dahilinde ulaşılmasıdır. Bahsedilen kontrollü erişim Transformation Procedures şeklinde adlandırılır. Görev ayrılığı ilkesini benimser (Separation of Duties), erişimler göreve göre belirlenir.

4-)Brewer Nash Modeli / Chinese Wall

Bu model çıkar çatışmalarını önlemek ve rakip firmalar arasındaki gözlemlemeleri sınırlandırmak için ortaya çıkmıştır. Genellikle hukuk veya danışmanlık firmaları tarafından kullanılır. Modelde kullanıcı iki ya da daha fazla rakip şirketten birinin verisine eriştiğinde diğer veri otomatik şekilde kilitlenir. Mesela bir veri analisti iki şirketin satış verilerini incelemek istediğinde birini gözlemlerse diğer veriye ulaşımını kaybeder. Bu model dinamik bir modeldir ve önceki işlemleri da karar sürecine dahil eder.

Bu şekilde erişim kontrolü modelleri bulunduğu gibi , erişim kontrolü yaklaşımları da bulunmaktadır. O yazıya ulaşmak için buraya ekleyeceğim linki kullanabilirsiniz. Yazıyı beğendiyseniz beni medium üzerinden takip etmeyi ve faydalı bulacağını düşündüğünüz kişilerle paylaşmayı unutmayın.

Shadow AI’ı kısaca tanımlamamız gerekirse; yapay zekanın şirketteki bilişim teknolojileri departmanı veya başka birimlerden gerekli onay alınmadan kullanılması ve bunun sonucunda istenmeyen durumlarla karşılaşılmasıdır.

Bahsettiğimiz yapay zeka, genellikle veri analizi veya bazı süreçlerin otomatikleştirilmesi için kullanılan üretken yapay zeka olabilir (GenAI). Aslında bu yapay zekaları hepimiz kullanıyoruz. Ama neden şirketler için bir sorun teşkil ediyor?

GenAI’nın ücretsiz planları, girilen veriler üzerinden öğrenme yapabilir ve bu verileri model eğitiminde kullanabilir. (Not: Kurumsal planlar genellikle bu güvenceyi sunar; asıl risk çalışanların ücretsiz sürümleri kullanmasından kaynaklanır.)Bu durum, IT departmanının haberi olmadan kritik veri sızıntılarına yol açabilir. Bu veri sızıntıları kullanıcıların kişisel verilerini veya şirketin açıklanmaması gereken bilgilerini içeriyorsa, işte o zaman başımız belaya girmiş demektir.

Shadow AI, bir nevi Shadow IT’nin devamı gibi görülebilir. Yine sorumlu departmanın onayı olmadan şirketin tercihlerini yavaş ve yetersiz bulup kendi çözümünüzün daha doğru olabileceğini düşünebilirsiniz. Ama bu her zaman doğru olmayabilir. Kişisel depolama aygıtlarının kullanılması veya proje yönetim araçlarının izinsiz kullanılması Shadow IT konusunda karşımıza çıkan başlıca sorunlardandı. Aradaki fark şu şekilde açıklanabilir: Shadow IT her türlü yetkisiz uygulama veya servise odaklanırken, Shadow AI özellikle yapay zeka araçlarına, platformlarına ve kullanım senaryolarına yoğunlaşır. 2023'ten 2024'e geçerken şirketlerdeki yapay zeka kullanım oranı %74'ten %96'ya yükseldi. Ciddi sayılabilecek bu artış beraberinde endişeleri de getiriyor.

1. Veri Sızıntısı

Cisco’nun 2025 yılında yaptığı araştırmaya göre şirketlerin %46'sı, GenAI araçları aracılığıyla iç veri sızıntısı yaşadığını raporluyor. Bu veri sızıntıları şirketlerin yönetimler tarafından cezalandırılmasına neden olabileceği gibi şirket imajını da zedeliyor ve ekonomik kayıplara yol açabiliyor. Ayrıca yapay zeka yardımıyla yönetilen süreçlerde önyargı (bias), aşırı öğrenme (overfitting) ve model kayması (model drift) gibi karar alma sürecini olumsuz etkileyecek riskler de bulunuyor.

2. Çalışanlar Neden Yapay Zeka Kullanıyor?

Yaratıcı süreçleri daha verimli hale getirmek ve sürekli tekrarlayan işlemleri otomatikleştirmek için günümüz çalışanları sıkça yapay zekaya başvuruyor. Aynı zamanda yapay zeka uygulamalarının doğrudan kullanıcıya sunulabilmesi de çalışanların bu araçlara kolayca erişmesini sağlıyor.

Hızla gelişen ve değişen pazarlarda inovasyon için çok hızlı hareket edilmesi gereken günümüzde şirketler, bu süreçleri hızlandırmak, yeni fikirler edinmek ve var olan ürünlerini bir üst seviyeye taşımak için yapay zeka araçlarından yararlanmayı tercih ediyor.

Müşteri geri bildirimlerinin değerlendirilmesi ve geliştirme çalışmalarının yürütülmesi için de artık yavaş ve geleneksel süreçlerin pabucunu dama attırdık. Kimse uzun uzun bu işlerle uğraşmıyor, bunun yerine yapay zeka ile hızlıca analizlerini yapabiliyor.

Yapay zeka destekli sohbet botları, veri analizi için makine öğrenmesi modelleri, pazarlama otomasyon araçları ve veri görselleştirme araçları Shadow AI’ın en yaygın örnekleri arasında gösterilebilir.

BU ÇAĞDA YAPAY ZEKA KULLANAMAYACAK MIYIZ?

Hayır, yapay zekayı kullanmak günümüzde kaçınılmaz bir gerçek. Bu durumda yapay zekanın kullanılacağı süreçlerin özenle seçilmesi ve hangi veriler üzerinde çalışılacağına dikkatle karar verilmesi oldukça önemli. Şunu da söylemekte fayda var: tüm bu kararları IT ekibiyle doğru ve sürekli bir iletişim içinde verirseniz, şirketin zarar görme olasılığı oldukça düşecektir.