बग्स और नई सुविधाओं से अलग, किसी प्रोजेक्ट की दीर्घायु केवल उसकी उपयोगिता पर निर्भर नहीं करती; यह इस बात पर भी निर्भर करती है कि वह अपने उपयोगकर्ताओं का कितना विश्वास जीतता है। इस विश्वास को बनाए रखने के लिए मजबूत सुरक्षा उपाय जरूरी हैं। अपने प्रोजेक्ट की सुरक्षा को बेहतर बनाने के लिए आप ये महत्वपूर्ण कदम उठा सकते हैं।

सुनिश्चित करें कि सभी विशेषाधिकार प्राप्त योगदानकर्ताओं ने मल्टी-फैक्टर ऑथेंटिकेशन (MFA) सक्षम किया है

यदि कोई दुर्भावनापूर्ण व्यक्ति आपके प्रोजेक्ट के किसी विशेषाधिकार प्राप्त योगदानकर्ता का रूप धारण कर ले, तो परिणाम विनाशकारी हो सकते हैं।

एक बार विशेषाधिकार प्राप्त पहुँच मिल जाने पर, यह व्यक्ति आपके कोड में बदलाव करके उससे अनचाही कार्रवाइयाँ करवा सकता है (उदाहरण: क्रिप्टोकरेंसी माइन करना), आपके उपयोगकर्ताओं के इंफ्रास्ट्रक्चर में मैलवेयर फैला सकता है, या निजी कोड रिपॉज़िटरीज़ तक पहुँचकर बौद्धिक संपदा और संवेदनशील डेटा चुरा सकता है, जिसमें अन्य सेवाओं के क्रेडेंशियल भी शामिल हो सकते हैं।

MFA अकाउंट टेकओवर के खिलाफ सुरक्षा की एक अतिरिक्त परत देता है। इसे सक्षम करने के बाद, आपको अपने यूज़रनेम और पासवर्ड के साथ प्रमाणीकरण का एक और तरीका देना होता है, जिसे केवल आप जानते हैं या जिसकी पहुँच केवल आपके पास होती है।

अपने विकास वर्कफ़्लो के हिस्से के रूप में अपने कोड को सुरक्षित करें

कोड में सुरक्षा कमजोरियाँ प्रक्रिया के शुरुआती चरण में मिल जाएँ, तो उन्हें ठीक करना उत्पादन में पहुँचने के बाद ठीक करने की तुलना में कम खर्चीला होता है।

अपने कोड में सुरक्षा कमजोरियों का पता लगाने के लिए Static Application Security Testing (SAST) टूल का उपयोग करें। ये टूल कोड स्तर पर काम करते हैं और इन्हें चलाने के लिए रनटाइम वातावरण की आवश्यकता नहीं होती। इसलिए इन्हें प्रक्रिया के शुरुआती चरणों में चलाया जा सकता है और बिल्ड या कोड समीक्षा के दौरान आपके मौजूदा विकास वर्कफ़्लो में आसानी से जोड़ा जा सकता है।

यह ऐसा है जैसे कोई कुशल विशेषज्ञ आपके कोड रिपॉज़िटरी की समीक्षा कर रहा हो और कोड लिखते समय साफ़ दिखाई देने पर भी छूट जाने वाली सामान्य सुरक्षा कमजोरियों को ढूँढने में मदद कर रहा हो।

SAST टूल कैसे चुनें?

  • लाइसेंस जाँचें: कुछ टूल ओपन सोर्स प्रोजेक्ट्स के लिए मुफ्त होते हैं, जैसे GitHub CodeQL या SemGrep।
  • अपनी भाषा या भाषाओं के लिए कवरेज जाँचें।
  • ऐसा टूल चुनें जो आपके मौजूदा टूल और प्रक्रिया के साथ आसानी से जुड़ सके। उदाहरण के लिए, बेहतर होगा कि अलर्ट किसी अलग टूल में देखने के बजाय आपकी मौजूदा कोड समीक्षा प्रक्रिया और टूल में ही उपलब्ध हों।
  • False positives से सावधान रहें! आप नहीं चाहेंगे कि टूल बिना वजह आपकी गति धीमी करे।
  • फीचर जाँचें: कुछ टूल बहुत शक्तिशाली होते हैं और taint tracking कर सकते हैं (उदाहरण: GitHub CodeQL), कुछ AI से बने fix suggestions देते हैं, और कुछ custom queries लिखना आसान बनाते हैं (उदाहरण: SemGrep)।

अपने सीक्रेट्स साझा न करें

संवेदनशील डेटा, जैसे API keys, tokens और पासवर्ड, कभी-कभी गलती से आपके रिपॉज़िटरी में कमिट हो सकते हैं।

कल्पना कीजिए: आप एक लोकप्रिय ओपन-सोर्स प्रोजेक्ट के मेंटेनर हैं, जिसमें दुनिया भर के डेवलपर योगदान करते हैं। एक दिन कोई योगदानकर्ता अनजाने में किसी तृतीय-पक्ष सेवा की API keys रिपॉज़िटरी में कमिट कर देता है। कुछ दिनों बाद कोई व्यक्ति ये keys ढूँढ लेता है और बिना अनुमति उस सेवा में पहुँच जाता है। सेवा compromised हो जाती है, आपके प्रोजेक्ट के उपयोगकर्ताओं को downtime झेलना पड़ता है, और आपके प्रोजेक्ट की प्रतिष्ठा को नुकसान पहुँचता है। मेंटेनर के रूप में अब आपको compromised secrets रद्द करने, यह जाँचने कि हमलावर इस secret से कौन सी दुर्भावनापूर्ण कार्रवाइयाँ कर सकता था, प्रभावित उपयोगकर्ताओं को सूचित करने और सुधार लागू करने जैसे कठिन काम करने पड़ते हैं।

ऐसी घटनाओं को रोकने के लिए “secret scanning” समाधान मौजूद हैं, जो आपके कोड में ऐसे secrets का पता लगाने में मदद करते हैं। GitHub Secret Scanning और Trufflehog by Truffle Security जैसे कुछ टूल इन्हें remote branches पर पुश होने से पहले ही रोक सकते हैं, और कुछ टूल आपके लिए कुछ secrets को अपने-आप revoke भी कर देते हैं।

अपनी निर्भरताओं (dependencies) की जाँच और उन्हें अपडेट रखें

आपके प्रोजेक्ट की निर्भरताओं में ऐसी कमजोरियाँ हो सकती हैं जो आपके प्रोजेक्ट की सुरक्षा से समझौता कर सकती हैं। निर्भरताओं को मैन्युअल रूप से अपडेट रखना समय लेने वाला काम हो सकता है।

कल्पना कीजिए: एक प्रोजेक्ट किसी व्यापक रूप से उपयोग की जाने वाली लाइब्रेरी की मजबूत नींव पर बनाया गया है। बाद में उस लाइब्रेरी में एक गंभीर सुरक्षा समस्या पाई जाती है, लेकिन उस पर एप्लिकेशन बनाने वाले लोगों को इसकी जानकारी नहीं होती। जब कोई हमलावर इस कमजोरी का फायदा उठाता है, तो संवेदनशील उपयोगकर्ता डेटा उजागर हो जाता है। यह कोई सैद्धांतिक मामला नहीं है। 2017 में Equifax के साथ ठीक यही हुआ: गंभीर भेद्यता की सूचना मिलने के बाद भी उन्होंने अपनी Apache Struts निर्भरता अपडेट नहीं की। इसका फायदा उठाया गया, और कुख्यात Equifax breach ने 144 मिलियन उपयोगकर्ताओं के डेटा को प्रभावित किया।

ऐसे हालात से बचने के लिए, Software Composition Analysis (SCA) टूल जैसे Dependabot और Renovate सार्वजनिक डेटाबेसों, जैसे NVD या GitHub Advisory Database, में प्रकाशित ज्ञात कमजोरियों के लिए आपकी निर्भरताओं की अपने-आप जाँच करते हैं और उन्हें सुरक्षित संस्करणों पर अपडेट करने के लिए pull requests बनाते हैं। निर्भरताओं को नवीनतम सुरक्षित संस्करणों पर बनाए रखना आपके प्रोजेक्ट को संभावित जोखिमों से बचाता है।

ओपन-सोर्स लाइसेंस जोखिमों को समझें और प्रबंधित करें

ओपन-सोर्स लाइसेंस शर्तों के साथ आते हैं; इन्हें नज़रअंदाज़ करने पर कानूनी और प्रतिष्ठात्मक जोखिम हो सकते हैं।

ओपन-सोर्स निर्भरताओं का उपयोग विकास को तेज कर सकता है, लेकिन हर पैकेज के साथ एक लाइसेंस आता है जो बताता है कि उसका उपयोग, संशोधन या वितरण कैसे किया जा सकता है। कुछ लाइसेंस permissive होते हैं, जबकि अन्य (जैसे AGPL या SSPL) ऐसी सीमाएँ लगाते हैं जो आपके प्रोजेक्ट के लक्ष्यों या आपके उपयोगकर्ताओं की जरूरतों के अनुकूल नहीं हो सकतीं।

कल्पना कीजिए: आपने अपने प्रोजेक्ट में एक शक्तिशाली लाइब्रेरी जोड़ दी, यह जाने बिना कि वह एक प्रतिबंधात्मक लाइसेंस का उपयोग करती है। बाद में कोई कंपनी आपके प्रोजेक्ट को अपनाना चाहती है लेकिन लाइसेंस अनुपालन को लेकर चिंता व्यक्त करती है। नतीजा? आप अपनाने का मौका खो देते हैं, कोड को रीफ़ैक्टर करना पड़ता है, और प्रोजेक्ट की प्रतिष्ठा प्रभावित होती है।

इन समस्याओं से बचने के लिए, अपने विकास वर्कफ़्लो में automated license checks शामिल करने पर विचार करें। ये checks प्रक्रिया के शुरुआती चरण में असंगत लाइसेंसों की पहचान करने में मदद करते हैं और समस्याग्रस्त निर्भरताओं को आपके प्रोजेक्ट में आने से रोकते हैं।

एक और प्रभावी तरीका Software Bill of Materials (SBOM) बनाना है। SBOM सभी components और उनके metadata (लाइसेंस सहित) को एक मानकीकृत फ़ॉर्मेट में सूचीबद्ध करता है। यह आपकी software supply chain की स्पष्ट दृश्यता देता है और licensing risks को पहले से सामने लाने में मदद करता है।

सुरक्षा कमजोरियों की तरह, लाइसेंस संबंधी समस्याओं को भी शुरुआती चरण में हल करना आसान होता है। इस प्रक्रिया को स्वचालित करना आपके प्रोजेक्ट को स्वस्थ और सुरक्षित बनाए रखता है।

Protected branches के साथ अनचाहे बदलावों से बचें

आपकी मुख्य branches पर अप्रतिबंधित पहुँच होने से आकस्मिक या दुर्भावनापूर्ण बदलाव हो सकते हैं, जो कमजोरियाँ ला सकते हैं या आपके प्रोजेक्ट की स्थिरता बिगाड़ सकते हैं।

एक नया योगदानकर्ता main branch पर write access पा लेता है और गलती से ऐसे बदलाव push कर देता है जिनका परीक्षण नहीं हुआ था। उन नए बदलावों के कारण बाद में एक गंभीर सुरक्षा दोष सामने आता है। ऐसी समस्याओं को रोकने के लिए branch protection rules यह सुनिश्चित करते हैं कि महत्वपूर्ण branches में बदलाव review और निर्धारित status checks पास किए बिना push या merge न किए जा सकें। यह अतिरिक्त उपाय आपको अधिक सुरक्षित रखता है और हर बार बेहतर गुणवत्ता सुनिश्चित करता है।

सुरक्षा मुद्दों की रिपोर्टिंग को आसान (और सुरक्षित) बनाएं

उपयोगकर्ताओं के लिए bugs रिपोर्ट करना आसान बनाना अच्छी practice है, लेकिन बड़ा सवाल यह है: जब किसी bug का सुरक्षा पर असर हो, तो वे उसे आपको सुरक्षित तरीके से कैसे रिपोर्ट करें, बिना आपको malicious hackers का लक्ष्य बनाए?

कल्पना कीजिए: एक सुरक्षा शोधकर्ता आपके प्रोजेक्ट में एक भेद्यता खोजता है, लेकिन उसे रिपोर्ट करने का कोई स्पष्ट या सुरक्षित तरीका नहीं मिलता। किसी निर्धारित प्रक्रिया के बिना, वे public issue बना सकते हैं या सोशल मीडिया पर खुलकर चर्चा कर सकते हैं। भले ही उनकी मंशा अच्छी हो और वे fix भी दें, अगर वे इसे public pull request के रूप में करते हैं, तो merge होने से पहले ही दूसरे लोग इसे देख लेंगे। यह सार्वजनिक खुलासा आपको समस्या ठीक करने का मौका मिलने से पहले ही भेद्यता को दुर्भावनापूर्ण लोगों के सामने ला देगा, जिससे zero-day exploit हो सकता है और आपके प्रोजेक्ट व उपयोगकर्ताओं पर हमला हो सकता है।

सुरक्षा नीति

इसे रोकने के लिए, एक security policy प्रकाशित करें। SECURITY.md फ़ाइल में परिभाषित security policy सुरक्षा चिंताओं की रिपोर्टिंग के चरण बताती है, coordinated disclosure के लिए पारदर्शी प्रक्रिया बनाती है, और रिपोर्ट किए गए मुद्दों को संभालने के लिए project team की जिम्मेदारियाँ तय करती है। यह policy इतनी सरल भी हो सकती है: “कृपया विवरण public issue या PR में प्रकाशित न करें; हमें security@example.com पर private email भेजें”। इसमें यह भी बताया जा सकता है कि उन्हें आपसे जवाब कब तक मिलना चाहिए। disclosure process की प्रभावशीलता और दक्षता बढ़ाने वाली कोई भी जानकारी उपयोगी है।

निजी भेद्यता रिपोर्टिंग

कुछ platforms पर आप private issues के साथ intake से लेकर broadcast तक अपनी vulnerability management process को सरल और मजबूत बना सकते हैं। GitLab पर यह private issues के माध्यम से किया जा सकता है। GitHub पर इसे private vulnerability reporting (PVR) कहा जाता है। PVR maintainers को GitHub platform के भीतर ही vulnerability reports प्राप्त करने और उनका समाधान करने की सुविधा देता है। GitHub fixes लिखने के लिए अपने-आप एक private fork और draft security advisory बनाएगा। यह सब तब तक गोपनीय रहता है जब तक आप issues disclose करने और fixes release करने का निर्णय नहीं लेते। प्रक्रिया पूरी करने के लिए security advisories प्रकाशित की जाएँगी, जो आपके सभी उपयोगकर्ताओं को उनके SCA tool के माध्यम से सूचित और सुरक्षित करेंगी।

अपना threat model परिभाषित करें ताकि उपयोगकर्ता और शोधकर्ता scope समझ सकें

सुरक्षा शोधकर्ता प्रभावी रूप से तभी issues रिपोर्ट कर सकते हैं जब वे समझते हों कि कौन से risks scope में आते हैं। एक हल्का threat model आपके प्रोजेक्ट की सीमाएँ, अपेक्षित व्यवहार और assumptions परिभाषित करने में मदद कर सकता है।

Threat model का जटिल होना जरूरी नहीं है। एक सरल दस्तावेज़, जो बताता है कि आपका प्रोजेक्ट क्या करता है, वह किन चीज़ों पर भरोसा करता है, और उसका दुरुपयोग कैसे हो सकता है, बहुत उपयोगी होता है। यह आपको, maintainer के रूप में, संभावित pitfalls और upstream dependencies से मिले risks पर सोचने में भी मदद करता है।

एक बढ़िया उदाहरण Node.js threat model है, जो स्पष्ट रूप से परिभाषित करता है कि प्रोजेक्ट के संदर्भ में क्या vulnerability माना जाता है और क्या नहीं।

यदि आप इसमें नए हैं, तो OWASP Threat Modeling Process अपना threat model बनाने के लिए एक उपयोगी परिचय देता है।

अपनी security policy के साथ एक बुनियादी threat model प्रकाशित करने से सभी के लिए स्पष्टता बढ़ती है।

एक हल्की incident response process तैयार रखें

एक बुनियादी incident response plan आपको शांत रहने और प्रभावी ढंग से काम करने में मदद करता है, जिससे आपके उपयोगकर्ताओं और consumers की सुरक्षा सुनिश्चित होती है।

अधिकांश भेद्यताएँ researchers द्वारा खोजी जाती हैं और private तौर पर रिपोर्ट की जाती हैं। लेकिन कभी-कभी कोई issue आपके पास पहुँचने से पहले ही वास्तविक दुनिया में exploit हो रहा होता है। जब ऐसा होता है, तो आपके downstream consumers जोखिम में होते हैं, और एक हल्का, अच्छी तरह परिभाषित incident response plan बहुत बड़ा फर्क ला सकता है।

जब कोई भेद्यता private तौर पर रिपोर्ट की जाती है, तब भी अगले कदम मायने रखते हैं। जब आपको vulnerability report मिलती है या आप suspicious activity का पता लगा लेते हैं, तो उसके बाद क्या होता है?

एक बुनियादी incident response plan, भले ही वह एक सरल checklist ही क्यों न हो, समय महत्वपूर्ण होने पर आपको शांत रहने और प्रभावी ढंग से काम करने में मदद करता है। यह users और researchers को भी दिखाता है कि आप incidents और reports को गंभीरता से लेते हैं।

आपकी प्रक्रिया जटिल होने की आवश्यकता नहीं है। न्यूनतम रूप में, परिभाषित करें:

  • कौन security reports या alerts की समीक्षा और triage करता है
  • severity का मूल्यांकन कैसे किया जाता है और mitigation decisions कैसे लिए जाते हैं
  • fix तैयार करने और disclosure coordinate करने के लिए आप कौन से steps लेते हैं
  • प्रभावित users, contributors या downstream consumers को आप कैसे सूचित करते हैं

यदि किसी active incident को अच्छी तरह manage नहीं किया गया, तो यह users के मन में आपके प्रोजेक्ट के प्रति विश्वास कम कर सकता है। इसे अपनी SECURITY.md फ़ाइल में प्रकाशित करने (या इससे link करने) से अपेक्षाएँ तय करने और विश्वास बनाने में मदद मिल सकती है।

प्रेरणा के लिए, Express.js Security WG open source incident response plan का एक सरल लेकिन प्रभावी उदाहरण देता है।

यह plan आपके प्रोजेक्ट के बढ़ने के साथ विकसित हो सकता है, लेकिन अभी एक बुनियादी framework मौजूद होना वास्तविक incident के दौरान समय बचा सकता है और गलतियाँ कम कर सकता है।

सुरक्षा को एक टीम प्रयास के रूप में देखें

सुरक्षा किसी एक व्यक्ति की जिम्मेदारी नहीं है। यह तब सबसे अच्छा काम करती है जब यह आपके प्रोजेक्ट की कम्युनिटी में साझा की जाती है।

Tools और policies जरूरी हैं, लेकिन मजबूत security posture इस बात से बनता है कि आपकी team और contributors मिलकर कैसे काम करते हैं। साझा जिम्मेदारी की संस्कृति बनाने से आपका प्रोजेक्ट vulnerabilities को तेज़ी से और अधिक प्रभावी ढंग से identify, triage और respond कर पाता है।

सुरक्षा को team sport बनाने के कुछ तरीके:

  • स्पष्ट भूमिकाएँ दें: जानें कि vulnerability reports कौन संभालता है, dependency updates की समीक्षा कौन करता है, और security patches को approve कौन करता है।
  • least privilege के सिद्धांत से access सीमित करें: write या admin access केवल उन्हीं को दें जिन्हें सच में इसकी जरूरत है, और permissions की नियमित समीक्षा करें।
  • शिक्षा में निवेश करें: contributors को secure coding practices, सामान्य vulnerability types और आपके tools (जैसे SAST या secret scanning) का उपयोग सीखने के लिए प्रोत्साहित करें।
  • विविधता और सहयोग को बढ़ावा दें: एक heterogeneous team व्यापक अनुभव, threat awareness और creative problem-solving skills लाती है। इससे ऐसे risks भी सामने आ सकते हैं जिन्हें दूसरे लोग नजरअंदाज कर दें।
  • upstream और downstream से जुड़े रहें: आपकी dependencies आपकी सुरक्षा को प्रभावित कर सकती हैं, और आपका प्रोजेक्ट दूसरों को प्रभावित करता है। upstream maintainers के साथ coordinated disclosure में भाग लें, और vulnerabilities ठीक होने पर downstream users को सूचित रखें।

सुरक्षा एक सतत प्रक्रिया है, एक बार का setup नहीं। अपनी community को शामिल करके, secure practices को बढ़ावा देकर और एक-दूसरे का समर्थन करके आप एक मजबूत, अधिक resilient project और सभी के लिए सुरक्षित ecosystem बना सकते हैं।

निष्कर्ष: आपके लिए कुछ कदम, आपके उपयोगकर्ताओं के लिए बड़ा सुधार

ये कुछ कदम आपके लिए सरल या मूलभूत लग सकते हैं, पर ये आपके प्रोजेक्ट को उसके उपयोगकर्ताओं के लिए बहुत अधिक सुरक्षित बना देते हैं क्योंकि ये सबसे सामान्य समस्याओं के विरुद्ध सुरक्षा प्रदान करते हैं।

सुरक्षा स्थिर नहीं रहती। समय-समय पर अपनी प्रक्रियाओं की समीक्षा करें। जैसे-जैसे आपका प्रोजेक्ट बढ़ता है, आपकी ज़िम्मेदारियाँ और आपका attack surface भी बढ़ते हैं।

योगदानकर्ता

हमारे साथ अपने अनुभव और सुझाव साझा करने वाले सभी मेंटेनर्स का बहुत धन्यवाद!

यह गाइड @nanzggits & @xcorail द्वारा लिखी गई थी, साथ ही योगदानकर्ताओं में शामिल हैं:

@JLLeitschuh, @intrigus-lgtm, @UlisesGascon और बहुत से अन्य!