নিরাপত্তা অডিট
AI-কে আপনার অ্যাপের নিরাপত্তা পরিস্থিতি পর্যালোচনা করতে বলুন, নিচের সেরা অভ্যাসগুলো অনুসরণ করুন এবং Settings পেজে সিক্রেটগুলো সংরক্ষণ করুন।
Proyecta-তে নিরাপত্তা পরিচালিত হয় প্ল্যাটফর্মের ডিফল্ট সেটিংস, AI-চালিত পর্যালোচনা এবং কিছু অভ্যাসের সমন্বয়ে — যেগুলো তোমার গড়ে তোলা উচিত। এটি নিয়ে কীভাবে ভাববে তা এখানে দেওয়া হলো।
নিরাপত্তা অডিট চালাও
Section titled “নিরাপত্তা অডিট চালাও”Command Palette (Cmd+K / Ctrl+K) খুলে Run Security Audit নির্বাচন করো। এটি AI-এর কাছে একটি ব্যাপক নিরাপত্তা prompt পাঠায়, যা তোমার পুরো কোডবেস পড়ে এবং অগ্রাধিকার-ভিত্তিক ফলাফল ও নির্দিষ্ট সমাধানসহ দুর্বলতাগুলো তুলে ধরে।
অডিটটি যা পরীক্ষা করে:
- সোর্স ফাইলে হার্ডকোড করা API key, token বা পাসওয়ার্ড
VITE_-প্রিফিক্সযুক্ত env var যা client-এ সিক্রেট ফাঁস করে- API endpoint-এ server-side ইনপুট ভ্যালিডেশনের অনুপস্থিতি
- authentication ছাড়া পেজ বা API endpoint
- অ-escaped ব্যবহারকারীর কন্টেন্ট (XSS ঝুঁকি)
- Dependency দুর্বলতা
- Mixed content বা হার্ডকোড করা
http://URL - ফাইল আপলোড ভ্যালিডেশনের অনুপস্থিতি
তুমি chat থেকেও ম্যানুয়ালি নিরাপত্তা অডিট চালাতে পারো, অথবা নির্দিষ্ট কোনো এলাকায় সীমাবদ্ধ করতে পারো:
"Review my checkout flow for security issues""Check the admin pages — who can access what?""Look at every endpoint that writes to the database and tell me if any of them are missing authorization"
নিরাপত্তার সেরা অভ্যাস
Section titled “নিরাপত্তার সেরা অভ্যাস”সিক্রেট নিরাপদ রাখো
- প্রতিটি API key, ডেটাবেজ credential এবং থার্ড-পার্টি token Settings পেজের Environment Variables সেকশনে সংরক্ষণ করো
- কখনো chat মেসেজে সিক্রেট paste করো না বা কোডে commit করো না
- যদি কোনো সিক্রেট প্রকাশ পেয়ে যায়, তাহলে সঙ্গে সঙ্গে থার্ড-পার্টি provider-এ গিয়ে সেটি revoke করো এবং নতুন একটি তৈরি করো
অ্যাক্সেস সীমিত করো
- তোমার অ্যাপে role-based পারমিশন implement করো (
"Add admin and member roles. Only admins can access /admin pages.") - সংবেদনশীল পেজ ও endpoint গুলো authenticated ব্যবহারকারীদের মধ্যে সীমিত রাখো
- সবসময় server side-এ ব্যবহারকারীর ইনপুট ভ্যালিডেট করো, শুধু client-এ নয়
সর্বত্র HTTPS ব্যবহার করো
- সব published Proyecta অ্যাপ স্বয়ংক্রিয়ভাবে HTTPS-এর মাধ্যমে serve করা হয়
- SSL সার্টিফিকেট তোমার হয়ে provision ও renew করা হয়
- কাস্টম domain-এর ক্ষেত্রেও DNS সঠিকভাবে point করলে একই সুবিধা প্রযোজ্য
Dependency আপডেট রাখো
- AI-কে পর্যায়ক্রমে জিজ্ঞেস করো:
"Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones." - AI কী পরিবর্তন করছে তা পর্যালোচনা করো — dependency আপগ্রেডে কখনো কখনো breaking change থাকতে পারে
বড় পরিবর্তনের পর অডিট করো
- authentication, payments, ফাইল আপলোড বা ব্যবহারকারীর ডেটা স্পর্শ করে এমন কিছু যোগ করার পর আবার অডিট চালাও
- প্রথমবার production-এ publish করার আগে একটি সম্পূর্ণ পর্যালোচনা করো
Proyecta তোমার হয়ে যা পরিচালনা করে
Section titled “Proyecta তোমার হয়ে যা পরিচালনা করে”- তোমার
*.proyecta.livesubdomain-এর জন্য HTTPS এবং সার্টিফিকেট - Environment variables — সিক্রেটগুলো একটি ডেডিকেটেড secrets store-এ সংরক্ষিত হয় এবং তোমার অ্যাপের backend (Convex)-এ sync করা হয়, কোডবেসে কখনো commit হয় না। দ্রষ্টব্য: project অ্যাক্সেস আছে এমন workspace সদস্যরা সিক্রেটগুলো দেখতে পারবেন।
- Isolated runtime — প্রতিটি project নিজস্ব container-এ চলে, তাই dev-environment-এর সমস্যা অন্য ব্যবহারকারীদের প্রভাবিত করে না
- প্রথম publish-এর আগে একটি অডিট চালাও — একটি সম্পূর্ণ পর্যালোচনা সমস্যাগুলো live হওয়ার আগেই ধরে ফেলে।
- বড় পরিবর্তনের পর আবার চালাও — auth, payments বা ফাইল আপলোড যোগ করলে নতুন আক্রমণের পথ তৈরি হয়।
- স্কোপ সীমিত করো — নির্দিষ্ট এলাকায় অডিট করা সম্পূর্ণ অ্যাপ sweep-এর চেয়ে দ্রুত এবং আরও পুঙ্খানুপুঙ্খ।