আপনি কীভাবে নির্ভরতা (dependencies) এর নিরাপত্তা পরিচালনা করেন?

Question

Accepted Answer

আধুনিক অ্যাপ্লিকেশন অনেক **তৃতীয় পক্ষের নির্ভরতা** (লাইব্রেরি, প্যাকেজ) ব্যবহার করে, যা **দুর্বলতা** থাকতে পারে বা ক্ষতিকারক হতে পারে। নির্ভরতা নিরাপত্তা পরিচালনা — স্ক্যান করা, আপডেট করা এবং পরীক্ষা করা — গুরুত্বপূর্ণ, কারণ দুর্বল নির্ভরতা একটি সাধারণ আক্রমণ ভেক্টর (OWASP)।

## ঝুঁকি: নির্ভরতা আপনার আক্রমণ পৃষ্ঠের অংশ

```text
Apps depend on MANY third-party packages (and their transitive dependencies):
  → a vulnerability in ANY dependency is a vulnerability in YOUR app
  → "using components with known vulnerabilities" is an OWASP Top 10 risk
  → MALICIOUS packages (typosquatting, compromised packages) — supply chain attacks
→ you're trusting/running a lot of code you didn't write.
```

## নির্ভরতা নিরাপত্তা পরিচালনা

```text
✓ SCAN dependencies for known vulnerabilities (SCA tools): npm audit, Dependabot, Snyk,
  OWASP Dependency-Check → integrate into CI (catch per change)
✓ KEEP DEPENDENCIES UPDATED → patch known vulnerabilities (but test updates)
✓ AUTOMATE → Dependabot/Renovate open PRs for vulnerable/outdated deps
✓ MONITOR → vulnerability databases / alerts for your dependencies
```

## যাচাইকরণ এবং সরবরাহ শৃঙ্খল নিরাপত্তা

```text
✓ VET dependencies before adding → popularity, maintenance, reputation (avoid abandoned/
  sketchy packages); minimize dependencies (fewer = smaller attack surface)
✓ Beware TYPOSQUATTING (malicious packages with names similar to popular ones)
✓ LOCK versions (lockfiles) for reproducible builds; verify integrity
✓ SBOM (software bill of materials) → know what's in your software
→ Supply chain security is increasingly critical (attacks on the dependency chain).
```

## কেন এটি গুরুত্বপূর্ণ

নির্ভরতা নিরাপত্তা বোঝা গুরুত্বপূর্ণ কারণ **আধুনিক অ্যাপ্লিকেশন তৃতীয় পক্ষের কোডের উপর ব্যাপকভাবে নির্ভর করে যা তাদের আক্রমণ পৃষ্ঠের অংশ**, এবং দুর্বল নির্ভরতা একটি সাধারণ, স্বীকৃত ঝুঁকি, তাই এটি মূল্যবান নিরাপত্তা জ্ঞান।

অ্যাপ্লিকেশন অনেক নির্ভরতা ব্যবহার করে (এবং তাদের transitive নির্ভরতা), যার অর্থ একটি **যেকোনো নির্ভরতায় দুর্বলতা আপনার অ্যাপের একটি দুর্বলতা** — এবং "পরিচিত দুর্বলতা সহ উপাদান ব্যবহার করা" একটি OWASP শীর্ষ 10 ঝুঁকি, যখন ক্ষতিকারক প্যাকেজ (typosquatting, compromised প্যাকেজ) ক্রমবর্ধমান সরবরাহ-শৃঙ্খল হুমকির প্রতিনিধিত্ব করে।

যেহেতু আপনি অনেক কোড বিশ্বাস করছেন এবং চালাচ্ছেন যা আপনি লেখেননি, নির্ভরতা নিরাপত্তা পরিচালনা অপরিহার্য।

**এটি পরিচালনা করতে** বোঝা — **নির্ভরতা স্ক্যান করা** পরিচিত দুর্বলতার জন্য (SCA সরঞ্জাম যেমন npm audit, Dependabot এবং Snyk সহ, CI তে একীভূত হয়ে পরিবর্তন প্রতি সমস্যা ধরতে), **নির্ভরতা আপডেট রাখা** (পরিচিত দুর্বলতা প্যাচ করা, আপডেট পরীক্ষা করার সময়), **স্বয়ংক্রিয়করণ** প্রক্রিয়া (Dependabot/Renovate PR খোলা), এবং **পর্যবেক্ষণ** দুর্বলতা সতর্কতা — নির্ভরতা নিরাপদ রাখার জন্য ব্যবহারিক পদ্ধতি।

**যাচাইকরণ এবং সরবরাহ শৃঙ্খল নিরাপত্তা** বোঝা — যোগ করার আগে নির্ভরতা যাচাই করা (জনপ্রিয়তা, রক্ষণাবেক্ষণ এবং সুনাম পরীক্ষা করে পরিত্যক্ত বা সন্দেহজনক প্যাকেজ এড়াতে), নির্ভরতা কমানো (ছোট আক্রমণ পৃষ্ঠ), **typosquatting** এর বিষয়ে সতর্ক থাকা (ক্ষতিকারক সাদৃশ্যপূর্ণ প্যাকেজ), পুনরুৎপাদনযোগ্যতার জন্য সংস্করণ লক করা এবং SBOM ব্যবহার করে জানতে আপনার সফটওয়্যারে কী আছে — ক্রমবর্ধমান সমালোচনামূলক সরবরাহ-শৃঙ্খল নিরাপত্তা সম্পর্কে সচেতনতা প্রতিফলিত করে (নির্ভরতা শৃঙ্খল লক্ষ্য করে আক্রমণ একটি প্রধান হুমকি হয়ে উঠেছে)।

যেহেতু আধুনিক অ্যাপ্লিকেশন তৃতীয় পক্ষের কোডের উপর ব্যাপকভাবে নির্ভর করে (তাদের আক্রমণ পৃষ্ঠের একটি উল্লেখযোগ্য অংশ) এবং দুর্বল বা ক্ষতিকারক নির্ভরতা একটি সাধারণ, ক্রমবর্ধমান ঝুঁকি, এবং যেহেতু নির্ভরতা নিরাপত্তা পরিচালনা (স্ক্যান করা, আপডেট করা, যাচাই করা, সরবরাহ-শৃঙ্খল সচেতনতা) এটি সম্বোধন করার জন্য প্রয়োজনীয়, নির্ভরতা নিরাপত্তা বোঝা মূল্যবান, ব্যবহারিকভাবে প্রাসঙ্গিক নিরাপত্তা জ্ঞান — আধুনিক বাস্তবতার জন্য গুরুত্বপূর্ণ নির্ভরতা-ভারী অ্যাপ্লিকেশন, একটি স্বীকৃত OWASP ঝুঁকি সম্বোধন এবং ক্রমবর্ধমান সরবরাহ-শৃঙ্খল হুমকি, এবং তৃতীয় পক্ষের কোড যা আপনার অ্যাপ্লিকেশন নির্ভর করে তা একটি নিরাপত্তা দায়বদ্ধতা হওয়া থেকে রক্ষা করার জন্য অপরিহার্য।