सुरक्षा परीक्षण भनेको के हो?

Question

Accepted Answer

**सुरक्षा परीक्षण** सफ्टवेयरलाई **असुरक्षितता र सुरक्षा कमजोरीहरूको लागि** मूल्यांकन गर्छ — यो डेटा सुरक्षित गर्छ र आक्रमणको प्रतिरोध गर्छ भन्ने कुरा प्रमाणित गरदै। यसमा विभिन्न प्रविधिहरू समावेश छन् (SAST, DAST, penetration testing, dependency scanning) र सुरक्षा त्रुटिहरूसँग गम्भीर परिणामहरू हुन सक्ने भएकाले यो आवश्यक छ।

## सुरक्षा परीक्षणले के जाँच गर्छ

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## सुरक्षा परीक्षणका प्रकार/प्रविधिहरू

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## सुरक्षा एकीकृत गर्दै (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## यो किन महत्त्वपूर्ण छ

सुरक्षा परीक्षणको बारेमा बुझ्नु मूल्यवान वरिष्ठ स्तरको ज्ञान हो किनभने **सुरक्षा असुरक्षितताहरू गम्भीर परिणाम ल्याउन सक्छन्** (उल्लङ्घन, डेटा लिक, आर्थिक र सुनामको क्षति), त्यसैले तिनका लागि परीक्षण गर्नु आवश्यक छ, यो महत्त्वपूर्ण ज्ञान बनाइदिन्छ।

सुरक्षा परीक्षण सफ्टवेयरलाई **असुरक्षितताहरूको लागि** (injection, XSS, टुट्टा authentication/authorization, डेटा exposure, असुरक्षित निर्भरता — OWASP Top 10 प्रकारका त्रुटिहरू) मूल्यांकन गर्छ र यसको प्रतिरक्षाहरू प्रमाणित गर्छ — सुनिश्चित गरदै कि सफ्टवेयर आक्रमणको प्रतिरोध गर्छ र डेटा र प्रयोगकर्ताहरूलाई सुरक्षित गर्छ, एक महत्त्वपूर्ण गुणस्तर दिइँकि सुरक्षा विफलताहरू कत्तिको हानिकारक छन्।

**प्रकारहरू र प्रविधिहरू** बुझ्नु मुख्य हो: **SAST** (source code को स्थिर विश्लेषण असुरक्षितताहरूको लागि, CI मा चलाउन सकिने), **DAST** (चलिरहेको app को गतिशील परीक्षण यसलाई आक्रमण गरेर), **dependency scanning/SCA** (पुस्तकालयहरूमा ज्ञात असुरक्षितताहरू खोज्दै — supply-chain जोखिमहरू दिइँकि क्रमशः महत्त्वपूर्ण), **penetration testing** (नैतिक hackers सक्रिय रूपमा भित्र आउने प्रयास गरेर वास्तविक शोषणयोग्य त्रुटिहरू खोज्दै), र secret/configuration scanning — प्रत्येकले सुरक्षाको विभिन्न पहलुहरूलाई सम्बोधन गरदै।

**सुरक्षा एकीकृत गर्दै (shift left)** बुझ्नु — विकासको सुरुको समयमा र CI मा असुरक्षितताहरूको लागि परीक्षण गर्दै (अन्त्यमा मात्र होइन), SAST र dependency scanning लाई CI/CD मा स्वचालित गरदै, critical apps को लागि नियमित penetration testing गरदै, र तर्क (attackers हेर्नु अगाडि असुरक्षितताहरू खोज्दै, किनभने उल्लङ्घनहरू गम्भीर छन्) — विकास प्रक्रियामा सुरक्षा परीक्षणलाई एकीकृत गर्ने आधुनिक दृष्टिकोणलाई प्रतिबिम्बित गर्छ।

सुरक्षा एक आवश्यक, प्रायः कम जोर दिइने गुणस्तर आयाम हो, र असुरक्षितताहरूको लागि परीक्षण गर्ने तरिका बुझ्नु क्रमशः महत्त्वपूर्ण हुँदैछ किनभने सुरक्षा खतराहरू बढ्दैछन्।

सुरक्षा असुरक्षितताहरू गम्भीर परिणाम ल्याउने भएकाले र सुरक्षा परीक्षण (SAST, DAST, dependency scanning, penetration testing, shift-left मार्फत सुरुको समयमा एकीकृत) असुरक्षितताहरू खोज्नुको तरिका हो attackers तिनलाई शोषण गर्नु अगाडि, र प्रविधिहरू र दृष्टिकोण बुझ्नु सुरक्षित सफ्टवेयर निर्माणको लागि महत्त्वपूर्ण छ, सुरक्षा परीक्षण बुझ्नु मूल्यवान वरिष्ठ स्तरको ज्ञान हो — गुणस्तरको महत्त्वपूर्ण सुरक्षा आयामलाई सम्बोधन गरदै, असुरक्षितताहरू खोज्दै तिनको शोषण हुनु अगाडि, र महत्त्वपूर्ण र बढ्दो सुरक्षा खतराहरूको वातावरणमा वरिष्ठ भूमिकाहरूको लागि अपेक्षित सुरक्षा जागरूकता प्रतिबिम्बित गरदै।