आधारभूत सुरक्षित कोडिङ्ग अभ्यास के हुन्?

Question

Accepted Answer

**सुरक्षित कोडिङ्ग** भनेको आक्रमणको प्रतिरोध गर्ने र डेटा सुरक्षित राख्ने कोड लेख्नु हो — सामान्य असुरक्षाहरू रोक्ने अभ्यासहरु पछ्याइ। आधारभूत कुरा बुझ्नुले विकासकर्ताहरूलाई सुरक्षा पछि जोडिने सट्टा सुरुदेखि नै निर्माण गर्न सक्षम बनाउँछ।

## मूल सुरक्षित कोडिङ्ग अभ्यास

```text
✓ VALIDATE all input (never trust user/external input); allowlist where possible
✓ Use PARAMETERIZED queries (prevent SQL injection); ESCAPE output (prevent XSS)
✓ AUTHENTICATE and AUTHORIZE properly (verify identity; check permissions server-side)
✓ HANDLE SENSITIVE DATA carefully — hash passwords, encrypt sensitive data, use HTTPS
✓ Don't HARDCODE SECRETS (keys, passwords) in code → use env vars / secrets managers
✓ Use SECURE DEFAULTS; fail securely (errors shouldn't expose data or grant access)
```

## सामान्य गल्तिहरु बेवास्ता गर्नुहोस्

```text
✗ Trusting user input / client-side checks (validate on the SERVER)
✗ Exposing sensitive info in errors/logs (stack traces, secrets, PII)
✗ Using outdated/vulnerable DEPENDENCIES (keep them updated; scan them)
✗ Rolling your own CRYPTO (use vetted libraries/standards, not custom algorithms)
✗ Overly broad permissions (apply LEAST PRIVILEGE)
```

## सुरक्षा सिद्धान्तहरु

```text
✓ LEAST PRIVILEGE → grant only the minimum access needed (limit damage)
✓ DEFENSE IN DEPTH → multiple layers (no single point of failure)
✓ FAIL SECURELY → on error, default to denying access / safe state
✓ KEEP IT SIMPLE → complex code hides bugs/vulnerabilities
✓ SECURITY BY DESIGN → build it in from the start (shift left), not as an afterthought
```

## यो किन महत्त्वपूर्ण छ

आधारभूत सुरक्षित कोडिङ्ग अभ्यासहरु बुझ्नु आधारभूत छ किनभने **विकासकर्ताहरूले कोड लेख्छन् जो सुरक्षित वा असुरक्षित हुन्छ**, त्यसैले सुरक्षित अभ्यास लागु गर्नु सुरक्षित सफ्टवेयर निर्माणको लागि अपरिहार्य छ, यो महत्त्वपूर्ण सुरक्षा ज्ञान बनाउँछ।

सुरक्षित कोडिङ्ग — आक्रमणको प्रतिरोध गर्ने र डेटा सुरक्षित राख्ने कोड लेख्नु — बढ्दो गरी एक मूल विकासकर्ता जिम्मेवारी हो, र आधारभूत कुरा बुझ्नुले सुरुदेखि नै सुरक्षा निर्माण गर्न सक्षम बनाउँछ।

**मूल अभ्यासहरु** — इनपुट सत्यापन (बाह्य इनपुटमा कहिले विश्वास नगर्नु), parameterized queries प्रयोग गर्नु (SQL injection रोक्न) र आउटपुट escape गर्नु (XSS रोक्न), उचित authentication र authorization (सर्भर-साइड), संवेदनशील डेटा सावधानीसाथ संभाल्नु (पासवर्ड hash गर्नु, encryption, HTTPS), **गोप्य कुरा कोडमा हार्डकोड नगर्नु** (environment variables वा secrets managers प्रयोग गर्नु — एक सामान्य गल्ति), र सुरक्षित defaults प्रयोग गर्नु जो सुरक्षित रुपमा असफल हुन्छन् — सबैभन्दा सामान्य असुरक्षाहरु सीधा रोक्छन्।

**बेवास्ता गर्न सामान्य गल्तिहरु** बुझ्नु — client-side चेकमा विश्वास गर्नु, errors र logs मा संवेदनशील जानकारी एक्सपोज गर्नु, पुरानो/असुरक्षित dependencies प्रयोग गर्नु, **आफ्नै crypto roll गर्नु** (एक कुख्यात गल्ति — सट्टा vetted libraries प्रयोग गर्नु), र अत्यधिक व्यापक अनुमतिहरु — विकासकर्ताहरूलाई बारम्बार सुरक्षा त्रुटिहरु बेवास्ता गर्न मद्दत गर्छ।

**सुरक्षा सिद्धान्तहरु** बुझ्नु — **least privilege** (न्यूनतम आवश्यक पहुँच, क्षति सीमित गर्नु), **defense in depth** (बहु-तहरु, कुनै एकल असफलताको बिन्दु नभएको), **सुरक्षित रुपमा असफल हुनु** (त्रुटिमा denied access मा default गर्नु), यसलाई सरल राख्नु (जटिलताले असुरक्षाहरु लुकाउँछ), र **security by design** (सुरुदेखि नै निर्माण गर्नु) — मानसिकता र ढाँचा प्रदान गर्छ जो सबै सुरक्षित कोडिङ्गको आधार छ।

यी सिद्धान्तहरु र अभ्यासहरु कसरी सुरक्षा-सचेत विकासकर्ताहरू काम गर्छन् भनी प्रतिबिम्बित गर्छन्।

विकासकर्ताहरूले कोड लेख्छन् जो यो निर्धारण गर्छ कि सफ्टवेयर सुरक्षित छ वा छैन, र आधारभूत सुरक्षित कोडिङ्ग अभ्यासहरु (इनपुट सत्यापन, parameterized queries, उचित auth, secret management) र सिद्धान्तहरु (least privilege, defense in depth, security by design) लागु गर्नुले सामान्य असुरक्षाहरु रोक्छ, र यी बुझ्नु सुरक्षित सफ्टवेयर निर्माणको लागि अपरिहार्य छ, आधारभूत, अपरिहार्य सुरक्षा ज्ञान हो — अभ्यासहरु र सिद्धान्तहरु जो विकासकर्ताहरूलाई उनीहरूको कोडमा सुरक्षा निर्माण गर्न सक्षम बनाउँछ, बढ्दो गरी सबै विकासकर्ताबाट अपेक्षित, र सफ्टवेयर उत्पादनको लागि केन्द्रीय जो यसको प्रयोगकर्ता र डेटा सुरक्षित राख्छ।