Skip to content

নিরাপত্তা অডিট

AI-কে আপনার অ্যাপের নিরাপত্তা পরিস্থিতি পর্যালোচনা করতে বলুন, নিচের সেরা অভ্যাসগুলো অনুসরণ করুন এবং Settings পেজে সিক্রেটগুলো সংরক্ষণ করুন।

Proyecta-তে নিরাপত্তা পরিচালিত হয় প্ল্যাটফর্মের ডিফল্ট সেটিংস, AI-চালিত পর্যালোচনা এবং কিছু অভ্যাসের সমন্বয়ে — যেগুলো তোমার গড়ে তোলা উচিত। এটি নিয়ে কীভাবে ভাববে তা এখানে দেওয়া হলো।

নিরাপত্তা অডিট চালাও

Section titled “নিরাপত্তা অডিট চালাও”

Command Palette (Cmd+K / Ctrl+K) খুলে Run Security Audit নির্বাচন করো। এটি AI-এর কাছে একটি ব্যাপক নিরাপত্তা prompt পাঠায়, যা তোমার পুরো কোডবেস পড়ে এবং অগ্রাধিকার-ভিত্তিক ফলাফল ও নির্দিষ্ট সমাধানসহ দুর্বলতাগুলো তুলে ধরে।

অডিটটি যা পরীক্ষা করে:

  • সোর্স ফাইলে হার্ডকোড করা API key, token বা পাসওয়ার্ড
  • VITE_-প্রিফিক্সযুক্ত env var যা client-এ সিক্রেট ফাঁস করে
  • API endpoint-এ server-side ইনপুট ভ্যালিডেশনের অনুপস্থিতি
  • authentication ছাড়া পেজ বা API endpoint
  • অ-escaped ব্যবহারকারীর কন্টেন্ট (XSS ঝুঁকি)
  • Dependency দুর্বলতা
  • Mixed content বা হার্ডকোড করা http:// URL
  • ফাইল আপলোড ভ্যালিডেশনের অনুপস্থিতি

তুমি chat থেকেও ম্যানুয়ালি নিরাপত্তা অডিট চালাতে পারো, অথবা নির্দিষ্ট কোনো এলাকায় সীমাবদ্ধ করতে পারো:

  • "Review my checkout flow for security issues"
  • "Check the admin pages — who can access what?"
  • "Look at every endpoint that writes to the database and tell me if any of them are missing authorization"

নিরাপত্তার সেরা অভ্যাস

Section titled “নিরাপত্তার সেরা অভ্যাস”

সিক্রেট নিরাপদ রাখো

  • প্রতিটি API key, ডেটাবেজ credential এবং থার্ড-পার্টি token Settings পেজের Environment Variables সেকশনে সংরক্ষণ করো
  • কখনো chat মেসেজে সিক্রেট paste করো না বা কোডে commit করো না
  • যদি কোনো সিক্রেট প্রকাশ পেয়ে যায়, তাহলে সঙ্গে সঙ্গে থার্ড-পার্টি provider-এ গিয়ে সেটি revoke করো এবং নতুন একটি তৈরি করো

অ্যাক্সেস সীমিত করো

  • তোমার অ্যাপে role-based পারমিশন implement করো ("Add admin and member roles. Only admins can access /admin pages.")
  • সংবেদনশীল পেজ ও endpoint গুলো authenticated ব্যবহারকারীদের মধ্যে সীমিত রাখো
  • সবসময় server side-এ ব্যবহারকারীর ইনপুট ভ্যালিডেট করো, শুধু client-এ নয়

সর্বত্র HTTPS ব্যবহার করো

  • সব published Proyecta অ্যাপ স্বয়ংক্রিয়ভাবে HTTPS-এর মাধ্যমে serve করা হয়
  • SSL সার্টিফিকেট তোমার হয়ে provision ও renew করা হয়
  • কাস্টম domain-এর ক্ষেত্রেও DNS সঠিকভাবে point করলে একই সুবিধা প্রযোজ্য

Dependency আপডেট রাখো

  • AI-কে পর্যায়ক্রমে জিজ্ঞেস করো: "Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones."
  • AI কী পরিবর্তন করছে তা পর্যালোচনা করো — dependency আপগ্রেডে কখনো কখনো breaking change থাকতে পারে

বড় পরিবর্তনের পর অডিট করো

  • authentication, payments, ফাইল আপলোড বা ব্যবহারকারীর ডেটা স্পর্শ করে এমন কিছু যোগ করার পর আবার অডিট চালাও
  • প্রথমবার production-এ publish করার আগে একটি সম্পূর্ণ পর্যালোচনা করো

Proyecta তোমার হয়ে যা পরিচালনা করে

Section titled “Proyecta তোমার হয়ে যা পরিচালনা করে”
  • তোমার *.proyecta.live subdomain-এর জন্য HTTPS এবং সার্টিফিকেট
  • Environment variables — সিক্রেটগুলো একটি ডেডিকেটেড secrets store-এ সংরক্ষিত হয় এবং তোমার অ্যাপের backend (Convex)-এ sync করা হয়, কোডবেসে কখনো commit হয় না। দ্রষ্টব্য: project অ্যাক্সেস আছে এমন workspace সদস্যরা সিক্রেটগুলো দেখতে পারবেন।
  • Isolated runtime — প্রতিটি project নিজস্ব container-এ চলে, তাই dev-environment-এর সমস্যা অন্য ব্যবহারকারীদের প্রভাবিত করে না
  • প্রথম publish-এর আগে একটি অডিট চালাও — একটি সম্পূর্ণ পর্যালোচনা সমস্যাগুলো live হওয়ার আগেই ধরে ফেলে।
  • বড় পরিবর্তনের পর আবার চালাও — auth, payments বা ফাইল আপলোড যোগ করলে নতুন আক্রমণের পথ তৈরি হয়।
  • স্কোপ সীমিত করো — নির্দিষ্ট এলাকায় অডিট করা সম্পূর্ণ অ্যাপ sweep-এর চেয়ে দ্রুত এবং আরও পুঙ্খানুপুঙ্খ।