सबसे ज़रूरी प्री-लॉन्च सिक्योरिटी जाँच कौन-सी है?

AI से बने ऐप्स के लिए, यह डेटाबेस एक्सेस कंट्रोल है — ग़ायब या ढीली रो-लेवल सिक्योरिटी वाइब-कोडेड ब्रीच का सबसे आम एकल कारण है। वहीं से शुरू करें, फिर सीक्रेट, फिर ऑथराइज़ेशन।

क्या मैं यह ख़ुद कर सकता हूँ?

हाँ — एक बार पता चल जाए कि कहाँ देखना है तो ज़्यादातर आइटम जल्दी हो जाते हैं, और हमारे मुफ़्त स्कैनर हर एक को सत्यापित करते हैं। इस बात का हस्ताक्षरित, बीमित साइन-ऑफ़ कि फ़िक्स सचमुच टिकते हैं, ClearedToShip की समीक्षा इंसानी प्रमाणन जोड़ती है।

AI से बने SaaS ऐप्स के लिए प्री-लॉन्च सिक्योरिटी चेकलिस्ट

किसी SaaS या वाइब-कोडेड ऐप को लॉन्च करने से पहले, इस सिक्योरिटी चेकलिस्ट से गुज़रें: हर टेबल पर रो-लेवल सिक्योरिटी सक्षम करें, हर सीक्रेट क्लाइंट से बाहर निकालें, निजी रूट पर ऑथराइज़ेशन लागू करें, सिक्योरिटी हेडर जोड़ें, CORS लॉक करें, रेट लिमिटिंग जोड़ें, और यह सब लाइव डिप्लॉयमेंट पर सत्यापित करें। ये वही समस्याएँ हैं जो AI से बने लॉन्च को डुबो देती हैं — और एक बार पता चल जाए कि कहाँ देखना है, तो ज़्यादातर जल्दी ठीक हो जाती हैं।

यह किसके लिए है: SaaS या AI से बने ऐप को लॉन्च करने वाले फ़ाउंडर्स
क्या कवर करता है: डेटाबेस, सीक्रेट, ऑथ, हेडर, CORS, रेट लिमिट
पूरा करने का समय: ज़्यादातर MVP के लिए एक दोपहर
इससे सत्यापित करें: मुफ़्त RLS, सीक्रेट, हेडर और CORS स्कैनर

1. अपना डेटाबेस लॉक करें

हर Supabase टेबल पर रो-लेवल सिक्योरिटी सक्षम करें (या सही Firebase/Appwrite नियम) ताकि सार्वजनिक anon की निजी डेटा न पढ़ या लिख सके। 'RLS सक्षम' काफ़ी नहीं है — पुष्टि करें कि नीतियाँ स्वामी यूज़र तक सीमित हैं और कोई 'सब अनुमति' नियम नहीं है। मुफ़्त RLS चेकर से सत्यापित करें।

2. हर सीक्रेट क्लाइंट से बाहर निकालें

service-role की, Stripe सीक्रेट की, और API टोकन केवल सर्वर-साइड एनवायरनमेंट वेरिएबल में रहने चाहिए। सार्वजनिक प्रिफ़िक्स (NEXT_PUBLIC_, VITE_) के पीछे की कोई भी चीज़ ब्राउज़र तक शिप होती है। उजागर सीक्रेट के लिए अपना लाइव बंडल स्कैन करें और जो भी लीक हुआ हो उसे रोटेट करें।

3. प्रमाणीकरण और ऑथराइज़ेशन लागू करें

हर निजी रूट, API एंडपॉइंट और एडमिन पैनल को जाँचना चाहिए कि अनुरोधकर्ता लॉग इन है और उस विशिष्ट डेटा तक पहुँचने की अनुमति रखता है। UI एलिमेंट छिपाने पर निर्भर न रहें — अंतर्निहित डेटा सर्वर-साइड सुरक्षित होना चाहिए।

4. सिक्योरिटी हेडर जोड़ें और CORS लॉक करें

Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options और X-Frame-Options सेट करें। Access-Control-Allow-Origin को भरोसेमंद ओरिजिन तक सीमित करें — कभी भी क्रेडेंशियल के साथ किसी भी मनमाने ओरिजिन को रिफ़्लेक्ट न करें। मुफ़्त हेडर और CORS चेकर से सत्यापित करें।

5. रेट लिमिटिंग जोड़ें और प्रोडक्शन पर सत्यापित करें

दुरुपयोग और स्क्रैपिंग रोकने के लिए ऑथ और महँगे एंडपॉइंट को रेट-लिमिट करें। फिर हर जाँच को लाइव डिप्लॉयमेंट पर दोबारा चलाएँ — स्टेजिंग कॉन्फ़िग अक्सर प्रोडक्शन से अलग होती है। जब यह सब पास हो जाए, तो आप शिप करने के लिए क्लियर हैं।

लॉन्च करने से पहले क्लियरेंस पाएँ।

अर्ली-एक्सेस सूची में शामिल हों। हम उन फ़ाउंडर्स को प्राथमिकता देंगे जिनका ऐप डिप्लॉय हो चुका है और जिनके कैलेंडर पर लॉन्च की तारीख़ तय है।

सवाल

सबसे ज़रूरी प्री-लॉन्च सिक्योरिटी जाँच कौन-सी है?: AI से बने ऐप्स के लिए, यह डेटाबेस एक्सेस कंट्रोल है — ग़ायब या ढीली रो-लेवल सिक्योरिटी वाइब-कोडेड ब्रीच का सबसे आम एकल कारण है। वहीं से शुरू करें, फिर सीक्रेट, फिर ऑथराइज़ेशन।
क्या मैं यह ख़ुद कर सकता हूँ?: हाँ — एक बार पता चल जाए कि कहाँ देखना है तो ज़्यादातर आइटम जल्दी हो जाते हैं, और हमारे मुफ़्त स्कैनर हर एक को सत्यापित करते हैं। इस बात का हस्ताक्षरित, बीमित साइन-ऑफ़ कि फ़िक्स सचमुच टिकते हैं, ClearedToShip की समीक्षा इंसानी प्रमाणन जोड़ती है।