নিরাপত্তা পরীক্ষা কী?

Question

Accepted Answer

**নিরাপত্তা পরীক্ষা** সফটওয়্যারকে **দুর্বলতা এবং নিরাপত্তা দুর্বলতার জন্য** মূল্যায়ন করে — এটি যাচাই করে যে এটি ডেটা রক্ষা করে এবং আক্রমণের বিরুদ্ধে প্রতিরোধ করে। এতে বিভিন্ন কৌশল রয়েছে (SAST, DAST, penetration testing, dependency scanning) এবং এটি অপরিহার্য কারণ নিরাপত্তা ত্রুটি গুরুতর পরিণতি ঘটাতে পারে।

## নিরাপত্তা পরীক্ষা কী পরীক্ষা করে

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## নিরাপত্তা পরীক্ষার প্রকার/কৌশল

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## নিরাপত্তা একীভূতকরণ (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## এটি কেন গুরুত্বপূর্ণ

নিরাপত্তা পরীক্ষা বোঝা মূল্যবান সিনিয়র-স্তরের জ্ঞান কারণ **নিরাপত্তা দুর্বলতা গুরুতর পরিণতি ঘটাতে পারে** (লঙ্ঘন, ডেটা ফাঁস, আর্থিক এবং খ্যাতিহানি ক্ষতি), তাই সেগুলির জন্য পরীক্ষা করা অপরিহার্য, এটি গুরুত্বপূর্ণ জ্ঞান করে তোলে।

নিরাপত্তা পরীক্ষা সফটওয়্যারকে **দুর্বলতার জন্য** মূল্যায়ন করে (injection, XSS, broken authentication/authorization, data exposure, vulnerable dependencies — OWASP Top 10 ধরনের ত্রুটি) এবং এর প্রতিরক্ষা যাচাই করে — নিশ্চিত করে যে সফটওয়্যার আক্রমণের বিরুদ্ধে প্রতিরোধ করে এবং ডেটা এবং ব্যবহারকারীদের রক্ষা করে, একটি গুরুত্বপূর্ণ গুণমান যেহেতু নিরাপত্তা ব্যর্থতা কতটা ক্ষতিকর।

**প্রকার এবং কৌশল** বোঝা মূল চাবিকাঠি: **SAST** (দুর্বলতার জন্য উৎস কোডের স্ট্যাটিক বিশ্লেষণ, CI-তে চালানোযোগ্য), **DAST** (চলমান অ্যাপের গতিশীল পরীক্ষা এটিকে আক্রমণ করে), **dependency scanning/SCA** (লাইব্রেরিতে পরিচিত দুর্বলতা খুঁজে বের করা — সাপ্লাই-চেইন ঝুঁকি দ্বারা ক্রমবর্ধমান গুরুত্বপূর্ণ), **penetration testing** (নৈতিক হ্যাকাররা সক্রিয়ভাবে ভেদ করার চেষ্টা করে বাস্তবসম্মত কাজে লাগানোযোগ্য ত্রুটি খুঁজে বের করতে), এবং secret/configuration scanning — প্রতিটি নিরাপত্তার বিভিন্ন দিক সম্বোধন করে।

**নিরাপত্তা একীভূতকরণ (shift left)** বোঝা গুরুত্বপূর্ণ — উন্নয়নের শুরু এবং CI-তে দুর্বলতার জন্য পরীক্ষা করা (শুধু শেষে নয়), SAST এবং dependency scanning CI/CD-তে স্বয়ংক্রিয় করা, গুরুত্বপূর্ণ অ্যাপগুলির জন্য নিয়মিত pen testing করা, এবং যুক্তি (আক্রমণকারীরা করার আগে দুর্বলতা খুঁজে পাওয়া, কারণ লঙ্ঘন গুরুতর) — উন্নয়ন প্রক্রিয়ায় নিরাপত্তা পরীক্ষা নির্মাণের আধুনিক পদ্ধতি প্রতিফলিত করে।

নিরাপত্তা একটি অপরিহার্য, প্রায়শই কম জোর দেওয়া গুণমান মাত্রা, এবং দুর্বলতার জন্য কীভাবে পরীক্ষা করতে হয় তা বোঝা নিরাপত্তা হুমকি বৃদ্ধির সাথে সাথে ক্রমবর্ধমান গুরুত্বপূর্ণ।

যেহেতু নিরাপত্তা দুর্বলতা গুরুতর পরিণতি ঘটায় এবং নিরাপত্তা পরীক্ষা (SAST, DAST, dependency scanning, pen testing, shift-left এর মাধ্যমে প্রাথমিক সংহতকরণ) আক্রমণকারীরা সেগুলি কাজে লাগানোর আগে দুর্বলতা কীভাবে খুঁজে পাওয়া যায়, এবং যেহেতু কৌশল এবং পদ্ধতি বোঝা সুরক্ষিত সফটওয়্যার তৈরির জন্য গুরুত্বপূর্ণ, নিরাপত্তা পরীক্ষা বোঝা মূল্যবান সিনিয়র-স্তরের জ্ঞান — গুণমানের গুরুত্বপূর্ণ নিরাপত্তা মাত্রা সম্বোধন করার জন্য, দুর্বলতা খুঁজে পাওয়ার আগে সেগুলি কাজে লাগানো হয়, এবং নিরাপত্তা সচেতনতা প্রতিফলিত করে সিনিয়র ভূমিকার জন্য প্রত্যাশিত উল্লেখযোগ্য এবং ক্রমবর্ধমান নিরাপত্তা হুমকির পরিবেশে।