মৌলিক নিরাপদ কোডিং অনুশীলনগুলি কী?

Question

Accepted Answer

**নিরাপদ কোডিং** মানে এমন কোড লেখা যা আক্রমণের বিরোধিতা করে এবং ডেটা রক্ষা করে — এমন অনুশীলন অনুসরণ করে যা সাধারণ দুর্বলতাগুলি প্রতিরোধ করে। মৌলিক বিষয়গুলি বোঝা ডেভেলপারদের শুরু থেকেই নিরাপত্তা তৈরি করতে সাহায্য করে বরং পরে এটি যোগ করার চেয়ে।

## মূল নিরাপদ কোডিং অনুশীলনগুলি

```text
✓ VALIDATE all input (never trust user/external input); allowlist where possible
✓ Use PARAMETERIZED queries (prevent SQL injection); ESCAPE output (prevent XSS)
✓ AUTHENTICATE and AUTHORIZE properly (verify identity; check permissions server-side)
✓ HANDLE SENSITIVE DATA carefully — hash passwords, encrypt sensitive data, use HTTPS
✓ Don't HARDCODE SECRETS (keys, passwords) in code → use env vars / secrets managers
✓ Use SECURE DEFAULTS; fail securely (errors shouldn't expose data or grant access)
```

## সাধারণ ত্রুটি এড়ান

```text
✗ Trusting user input / client-side checks (validate on the SERVER)
✗ Exposing sensitive info in errors/logs (stack traces, secrets, PII)
✗ Using outdated/vulnerable DEPENDENCIES (keep them updated; scan them)
✗ Rolling your own CRYPTO (use vetted libraries/standards, not custom algorithms)
✗ Overly broad permissions (apply LEAST PRIVILEGE)
```

## নিরাপত্তা নীতিগুলি

```text
✓ LEAST PRIVILEGE → grant only the minimum access needed (limit damage)
✓ DEFENSE IN DEPTH → multiple layers (no single point of failure)
✓ FAIL SECURELY → on error, default to denying access / safe state
✓ KEEP IT SIMPLE → complex code hides bugs/vulnerabilities
✓ SECURITY BY DESIGN → build it in from the start (shift left), not as an afterthought
```

## এটি কেন গুরুত্বপূর্ণ

মৌলিক নিরাপদ কোডিং অনুশীলনগুলি বোঝা ভিত্তিমূলক কারণ **ডেভেলপাররা এমন কোড লেখে যা নিরাপদ বা দুর্বল**, তাই নিরাপদ অনুশীলন প্রয়োগ করা নিরাপদ সফটওয়্যার তৈরির জন্য অপরিহার্য, এটি গুরুত্বপূর্ণ নিরাপত্তা জ্ঞান তৈরি করে।

নিরাপদ কোডিং — এমন কোড লেখা যা আক্রমণের বিরোধিতা করে এবং ডেটা রক্ষা করে — ক্রমবর্ধমানভাবে একটি মূল ডেভেলপার দায়িত্ব, এবং মৌলিক বিষয়গুলি বোঝা শুরু থেকেই নিরাপত্তা তৈরি করা সক্ষম করে।

**মূল অনুশীলনগুলি** — ইনপুট যাচাইকরণ (কখনই বাহ্যিক ইনপুট বিশ্বাস করবেন না), parameterized queries ব্যবহার করা (SQL injection প্রতিরোধ করা) এবং আউটপুট এস্কেপ করা (XSS প্রতিরোধ করা), সঠিক authentication এবং authorization (সার্ভার-সাইড), সংবেদনশীল ডেটা সাবধানে পরিচালনা করা (passwords হ্যাশ করা, এনক্রিপশন, HTTPS), **secrets hardcode না করা** (environment variables বা secrets managers ব্যবহার করা — একটি সাধারণ ত্রুটি), এবং secure defaults ব্যবহার করা যা নিরাপদভাবে ব্যর্থ হয় — সরাসরি সবচেয়ে সাধারণ দুর্বলতাগুলি প্রতিরোধ করে।

**এড়ানোর জন্য সাধারণ ত্রুটিগুলি** বোঝা — ক্লায়েন্ট-সাইড চেকগুলিতে বিশ্বাস করা, errors এবং logs-এ সংবেদনশীল তথ্য প্রকাশ করা, পুরানো/দুর্বল dependencies ব্যবহার করা, **নিজের crypto রোল করা** (একটি কুখ্যাত ত্রুটি — পরিবর্তে vetted libraries ব্যবহার করা), এবং অত্যন্ত ব্যাপক অনুমতি — ডেভেলপারদের ঘন ঘন নিরাপত্তা ত্রুটি এড়াতে সাহায্য করে।

**নিরাপত্তা নীতিগুলি** বোঝা — **least privilege** (ন্যূনতম প্রয়োজনীয় অ্যাক্সেস, ক্ষতি সীমাবদ্ধ করা), **defense in depth** (একাধিক স্তর, কোনো একক ব্যর্থতার পয়েন্ট নেই), **নিরাপদভাবে ব্যর্থ হওয়া** (error এ অ্যাক্সেস অস্বীকার করা ডিফল্ট), এটি সহজ রাখা (জটিলতা দুর্বলতা লুকায়), এবং **security by design** (শুরু থেকেই এটি তৈরি করা) — মানসিকতা এবং কাঠামো প্রদান করে যা সমস্ত নিরাপদ কোডিংয়ের অন্তর্নিহিত।

এই নীতিগুলি এবং অনুশীলনগুলি প্রতিফলিত করে যে কীভাবে নিরাপত্তা-সচেতন ডেভেলপাররা কাজ করে।

ডেভেলপাররা সেই কোড লেখে যা সফটওয়্যার নিরাপদ কিনা তা নির্ধারণ করে, এবং যেহেতু মৌলিক নিরাপদ কোডিং অনুশীলন প্রয়োগ করা (ইনপুট যাচাইকরণ, parameterized queries, সঠিক auth, secret management) এবং নীতিগুলি (least privilege, defense in depth, security by design) সাধারণ দুর্বলতাগুলি প্রতিরোধ করে, এবং যেহেতু এগুলি বোঝা নিরাপদ সফটওয়্যার তৈরির জন্য অপরিহার্য, মৌলিক নিরাপদ কোডিং অনুশীলনগুলি বোঝা ভিত্তিমূলক, অপরিহার্য নিরাপত্তা জ্ঞান — এমন অনুশীলন এবং নীতি যা ডেভেলপারদের তাদের কোডে নিরাপত্তা তৈরি করতে সক্ষম করে, ক্রমবর্ধমানভাবে সমস্ত ডেভেলপারদের কাছ থেকে প্রত্যাশিত, এবং এমন সফটওয়্যার তৈরির জন্য কেন্দ্রীয় যা তার ব্যবহারকারী এবং ডেটা রক্ষা করে।