Hali hazırda sistemimizi kullanan müşteriler
sudo oxupdate komutu ile ssh üzerinden güncellemeleri yapabilirler.
Selamlar dostlar, 1 haftalık sessizliğin sonunda tekrardan sizlerleyiz. Bu süreç içerisinde sistemimiz ve şirketimiz için birçok yeni adım attık. Bunları yakın zamanda zaten duyuracağız, öncelik olarak şuanda SOC 2 TYPE II ve birkaç güvenlik sertifikasyonundan dolayı sistemimizde bulunan dışa bağımlılıklararı en alt seviyeye düşürdüğümüzü duyurmak isteriz. API kullanımımız için de sizleri zorlamayacak bir rate limit sistemi ekledik, çoğu özelliğimizi kullanıcı taraflı seçimlere bıraktık. Panel üzerinden seçimlerinizi yapıp özellikleri aktif edebilirsiniz. Yeniliklere geçelim o zaman;
OXware artık host'unuzdan
izinsiz hiçbir verinin dışarı çıkmamasını garanti eden yerleşik bir egress güvenlik katmanı ile geliyor. Air-gapped ve KVKK-uyumlu kurulumlar için tasarlandı.
- 🔒 Deny-by-default: Yerel ağ (LAN) trafiği kesintisiz çalışır, public internete çıkış varsayılan olarak kapalıdır.
- ✅ Açık allowlist: İhtiyaç duyduğunuz dış servisleri (güncelleme, SSO, bildirim vb.) tek tek onaylarsınız.
- 📋 Denetlenebilir kanıt: Engellenen her dış bağlantı denemesi kayıt altına alınır — "dışarı hiçbir bilgi çıkmadı" iddiası artık kanıtlanabilir.
- 🧪 Güvenli geçiş: monitor moduyla önce gözlemle, sonra enforce moduyla kilitle.
📋 Detaylı Değişiklik Listesi Yeni: Egress Kilidi Güvenlik Katmanı - Merkezi egress guard - Socket seviyesinde tek noktadan koruma. Tüm dış bağlantı kütüphaneleri (requests, urllib, boto3, ldap3, paramiko vb.) otomatik denetlenir.
- Deny-by-default politikası - Loopback + özel ağlar (RFC1918, CGNAT, link-local) her zaman izinli; public internet allowlist'siz reddedilir. Hipervizör'ün SSH/LDAP/libvirt/node trafiği asla kırılmaz.
- 3 çalışma modu - enforce (kilit), monitor (sadece gözlem/dry-run), off.
- Yapılandırılabilir allowlist - Hostname veya CIDR bazlı; oxware.conf [egress] bölümü veya ortam değişkenleri.
- Denetim logu - Reddedilen/izinli tüm dış denemeler egress.jsonl'e JSONL olarak yazılır.
- İki katmanlı koruma - Telemetri ve güncelleyici modülleri, kilit aktifken proaktif olarak dış bağlantı denemesini de durdurur.
- Tam egress envanteri belgelendi - EGRESS.md: ürünün dışarı konuşan tüm noktaları (telemetri, güncelleme, AI, SSO, SIEM, webhook, Vault vb.) şeffaf şekilde listelendi.
Doğrulama - Public engelleme (DNS + IP-literal), yerel ağ izni, allowlist, monitor/off modları ve denetim logu - hepsi test edildi ve doğrulandı.