Trendyol API Credential Güvenliği: Vault ve Rotasyon

API key ve secret asla kaynak kodunda, .env commit'inde veya client-side bundle'da bulunmamalıdır. Üretim credential'ları secret manager (vault) içinde; uygulama runtime'da enjekte eder.

Geliştirici makinelerinde production credential kullanımını yasaklayın. Local test için ayrı sandbox hesabı ve düşük yetkili key verin.

Trendyol panelinde API erişimi için ayrı teknik kullanıcı açın; kişisel satıcı hesabı credential'ı işten ayrılan çalışanla birlikte risk taşır.

CI/CD pipeline'ına secret'ı plain text olarak yazmayın; OIDC veya vault referansı kullanın. Build log'larında secret maskelenmelidir.

Rotasyonu yılda en az bir kez veya şüpheli erişimde derhal yapın. Çift aktif key penceresi açın: yeni key'i deploy edin, trafik geçişini doğrulayın, eski key'i revoke edin.

Rotasyon sırasında çalışan batch job'lar 401 üretebilir; bakım penceresi ve retry planı önceden duyurulmalıdır.

Her API çağrısında credential ID (key'in kendisi değil) ve kaynak IP loglanmalıdır. Beklenmeyen IP'den ani sipariş çekme veya toplu fiyat değişimi alarm üretmelidir.

Log retention en az 90 gün; güvenlik olayında 1 yıl arşiv faydalıdır. PII ve secret log'a yazılmamalıdır.

Sızıntı şüphesinde sıra: 1) Trendyol panelinden key revoke, 2) yeni key üret ve vault'a yaz, 3) son 24 saat API loglarını incele, 4) yetkisiz fiyat/stok değişikliği varsa geri al, 5) kök neden analizi.

Git history'de yanlışlıkla commit edilen secret'ı silmek yetmez; key mutlaka rotate edilmelidir. Secret scanning aracını repoda aktif tutun.