प्लेटफ़ॉर्म
गंभीर AI सॉफ़्टवेयर डिलीवरी के लिए सिक्योरिटी टेस्टिंग
हर फाइंडिंग आप तक पहुंचने से पहले चल रही एप्लिकेशन के खिलाफ़ पुष्ट होती है — ताकि डैशबोर्ड असली जोखिम दिखाए, स्कैनर शोर नहीं।
Ciao Security प्लेटफ़ॉर्म की एप्लिकेशन सिक्योरिटी लेयर है: स्टैटिक स्कैनिंग, डिपेंडेंसी जांच और एक्सेस-कंट्रोल जांच, फ़्लैग होने से पहले लाइव ऐप के खिलाफ़ पुष्ट भेद्यताओं के साथ। कच्चे स्कैनर आउटपुट के विपरीत जो टीमों को फ़ॉल्स पॉज़िटिव में दबा देता है, Ciao हर फाइंडिंग को चल रही एप्लिकेशन के खिलाफ़ सत्यापित करता है और नतीजे को एक सेफ-टू-पब्लिश डैशबोर्ड में रोल करता है — ताकि टीमें तब शिप करें जब ऐप प्रदर्शनीय रूप से सुरक्षित हो।
प्रकाशित 2026-07-03 · आख़िरी बार अपडेट किया गया 2026-07-03
फाइंडिंग जिन पर आप कार्रवाई कर सकते हैं, स्कैनर शोर नहीं
एप्लिकेशन सिक्योरिटी टूलिंग में एक ईमानदारी की समस्या है: स्कैनर सैकड़ों फाइंडिंग बनाते हैं, जिनमें से ज़्यादातर मायने नहीं रखतीं, और टीमें रिपोर्ट को नज़रअंदाज़ करना सीख जाती हैं। इस बीच AI-सहायता प्राप्त डेवलपमेंट दांव बढ़ा देता है — ज़्यादा बदलाव, ज़्यादा सतह, किसी एक्सेस नियम के चुपचाप कमज़ोर होने के ज़्यादा मौके।
Ciao Security आपके ध्यान के साथ एक अलग करार करता है: स्टैटिक स्कैनिंग, डिपेंडेंसी जांच और एक्सेस-कंट्रोल जांच लगातार चलती हैं, और हर उम्मीदवार भेद्यता फ़्लैग होने से पहले लाइव एप्लिकेशन के खिलाफ़ पुष्ट होती है। जो डैशबोर्ड तक पहुंचता है वह असली है।
यह पेज हर Ciao प्रोजेक्ट में बिल्ट-इन सिक्योरिटी टेस्टिंग को कवर करता है। एक वेंडर के रूप में Ciao की अपनी पोज़िशन के लिए — SOC 2 Type II, SSO, डेटा हैंडलिंग, ज़ीरो-रिटेंशन मॉडल कॉन्ट्रैक्ट्स — सिक्योरिटी और कंप्लायंस ओवरव्यू देखें।
Security कैसे काम करता है
सिक्योरिटी टेस्टिंग डिलीवरी लूप के भीतर लगातार चलती है, किसी तिमाही इवेंट के रूप में नहीं।
1. हर बदलाव पर स्टैटिक स्कैनिंग
कोड लिखे जाने पर विश्लेषित किया जाता है — असुरक्षित पैटर्न, इंजेक्शन जोखिम और खतरनाक निर्माण बदलाव पर ही पकड़े जाते हैं, वार्षिक ऑडिट पर नहीं।
2. डिपेंडेंसी जांच
थर्ड-पार्टी पैकेजों को ज्ञात भेद्यताओं के लिए जांचा जाता है, ताकि ज़्यादातर एप्लिकेशन में सबसे जोखिम भरा कोड — जो टीम में किसी ने नहीं लिखा — भी देखा जाए।
3. एक्सेस-कंट्रोल जांच
जांच वही करती है जो एक हमलावर करेगा: टेनेंट सीमाओं के पार डेटा पढ़ना, एक नियमित उपयोगकर्ता के रूप में एडमिन एंडपॉइंट कॉल करना, ऐसे रूट तक पहुंचना जिनके लिए ऑथेंटिकेशन चाहिए।
4. फ़्लैग करने से पहले लाइव पुष्टि
उम्मीदवार समस्याओं की पुष्टि फ़्लैग होने से पहले चल रही एप्लिकेशन के खिलाफ़ की जाती है, साबित जोखिम को सैद्धांतिक शोर से अलग करते हुए।
5. सेफ-टू-पब्लिश डैशबोर्ड
एक व्यू रिलीज़ के सवाल का जवाब देता है: क्या यह एप्लिकेशन अभी पब्लिश करने के लिए सुरक्षित है? हरा पुष्ट सबूत दर्शाता है, स्कैन की अनुपस्थिति नहीं।
6. फिक्स लूप से वापस बहते हैं
पुष्ट फाइंडिंग तैयार किए गए फिक्स के साथ आती हैं जो हर बदलाव की तरह शिप होते हैं — Builder के ज़रिए, जहां पॉलिसी की ज़रूरत हो वहां Guardrails समीक्षा, और QA गेट्स।
यह क्यों मायने रखता है
लाइव ऐप के खिलाफ़ पुष्ट एक फाइंडिंग बातचीत बदल देती है। यह "स्कैनर कहता है यह पैटर्न जोखिम भरा हो सकता है" नहीं है — यह "यह अनुरोध, आपकी चल रही एप्लिकेशन के खिलाफ़, ऐसा डेटा लौटाया जो नहीं लौटाना चाहिए था" है। टीमें उन्हें ठीक करती हैं।
और क्योंकि जांच डिलीवरी लूप के भीतर चलती है, सिक्योरिटी डेवलपमेंट के साथ बनी रहती है इसे महीनों बाद ऑडिट करने के बजाय। सेफ-टू-पब्लिश डैशबोर्ड रिलीज़ के निर्णय को स्पष्ट बनाता है: हरा सबूत है, आशावाद नहीं।
लाइव पुष्टि यह भी बदल देती है कि सिक्योरिटी पर कौन कार्रवाई कर सकता है। सबूत के साथ एक सत्यापित फाइंडिंग को समझाने के लिए किसी सिक्योरिटी इंजीनियर की ज़रूरत नहीं — प्रोजेक्ट चलाने वाला व्यक्ति देख सकता है कि क्या हुआ और समीक्षा के ज़रिए तैयार किए गए फिक्स को शिप कर सकता है। विशेषज्ञता अब भी मायने रखती है; यह बस हर फिक्स के लिए बाधा नहीं रहती।
इसका इस्तेमाल कौन करता है
सेफ-टू-पब्लिश डैशबोर्ड अलग-अलग पाठकों के लिए अलग चीज़ों का मतलब रखता है।
- बिना सिक्योरिटी फ़ंक्शन वाली टीमें — आंतरिक टूल और पोर्टल बनाने वाली ज़्यादातर टीमों के पास कोई AppSec इंजीनियर नहीं है। उन्हें फिर भी लगातार टेस्टिंग मिलती है, पहले से सत्यापित फाइंडिंग के साथ।
- रेगुलेटेड खरीदारों को बेचने वाले इंजीनियरिंग लीडर — सिक्योरिटी प्रश्नावली का जवाब चल रहे प्रोडक्ट के सबूत से दिया जाता है, किसी पॉलिसी डॉक्यूमेंट की आकांक्षाओं से नहीं।
- एजेंसियां — हर क्लाइंट एप्लिकेशन एक ही मानक पर टेस्ट होती है, और "क्या यह सुरक्षित है?" के जवाब के पीछे एक डैशबोर्ड होता है।
- सिक्योरिटी टीमें — AI-निर्मित एप्लिकेशन अक्सर एक अंधा धब्बा होते हैं। Ciao उन्हें एक लगातार, लाइव-सत्यापित मानक पर रखता है जिसे टीम जांच सकती है।
सिक्योरिटी और गवर्नेंस नोट्स
- ✓ स्टैटिक स्कैनिंग, डिपेंडेंसी जांच और एक्सेस-कंट्रोल जांच हर प्रोजेक्ट पर चलती हैं।
- ✓ भेद्यताएं फ़्लैग होने से पहले लाइव एप्लिकेशन के खिलाफ़ पुष्ट होती हैं।
- ✓ सेफ-टू-पब्लिश स्थिति प्रति प्रोजेक्ट और Conductor में पूरे फ्लीट में दिखाई देती है।
- ✓ फाइंडिंग और उनके फिक्स अपेंड-ओनली ऑडिट ट्रेल में दर्ज होते हैं।
- ✓ Supabase बैकएंड में रो-लेवल सिक्योरिटी एक्सेस-कंट्रोल जांच द्वारा जांची जाती है।
- ✓ ऑथेंटिकेशन और परमिशन में बदलावों के बाद जांच फिर से चलती हैं, ताकि रिग्रेशन जल्दी सामने आएं।
- ✓ वेंडर-साइड कंप्लायंस — NDA के तहत SOC 2 Type II रिपोर्ट, SSO, ज़ीरो-रिटेंशन कॉन्ट्रैक्ट्स — सिक्योरिटी ओवरव्यू पेज पर कवर की गई है।
कच्चा स्कैनर आउटपुट बनाम लाइव-पुष्ट फाइंडिंग
अंतर यह है कि आप बिना ट्रायाज के किस पर भरोसा कर सकते हैं।
| सामान्य स्कैनर रिपोर्ट | Ciao Security | |
|---|---|---|
| वॉल्यूम | प्रति रन सैकड़ों फाइंडिंग | लाइव ऐप के खिलाफ़ पुष्ट फाइंडिंग |
| फ़ॉल्स पॉज़िटिव | आपको ट्रायाज करना है | अपुष्ट उम्मीदवार रिलीज़ को गेट नहीं करते |
| एक्सेस कंट्रोल | कोड में पैटर्न-मैच किया गया | चल रही एप्लिकेशन के खिलाफ़ जांचा गया |
| रिलीज़ निर्णय | एक PDF से एक निर्णय कॉल | सेफ-टू-पब्लिश डैशबोर्ड |
| फिक्स पथ | बैकलॉग में एक टिकट | समीक्षा और QA गेट्स के ज़रिए एक तैयार फिक्स |
अक्सर पूछे जाने वाले सवाल
यह /security पेज से कैसे अलग है?
वह पेज एक वेंडर के रूप में Ciao को कवर करता है — NDA के तहत SOC 2 Type II रिपोर्ट, SAML और OIDC के ज़रिए SSO, ऑडिट ट्रेल, ज़ीरो-रिटेंशन मॉडल कॉन्ट्रैक्ट्स। यह पेज कवर करता है कि प्लेटफ़ॉर्म आपकी एप्लिकेशनों के साथ क्या करता है: स्कैनिंग, जांच और भेद्यताओं की पुष्टि ताकि हर रिलीज़ प्रदर्शनीय रूप से पब्लिश करने के लिए सुरक्षित हो।
लाइव-पुष्ट में वास्तव में क्या शामिल है?
उम्मीदवार फाइंडिंग को चल रही एप्लिकेशन के खिलाफ़ आज़माया जाता है। एक क्रॉस-टेनेंट रीड प्रयास या तो डेटा लौटाता है या नहीं; एक अनऑथेंटिकेटेड अनुरोध या तो रूट तक पहुंचता है या नहीं। पुष्टि किसी पैटर्न को एक तथ्य में बदल देती है इससे पहले कि किसी से इस पर कार्रवाई करने को कहा जाए।
क्या यह पेनेट्रेशन टेस्ट की जगह लेता है?
यह ऐसा दावा नहीं करता। लगातार, लाइव-पुष्ट टेस्टिंग रोज़मर्रा के मानक को बढ़ाती है और औपचारिक एंगेजमेंट के बीच रिग्रेशन पकड़ती है। संविदात्मक या नियामक आवश्यकताओं वाली टीमें आमतौर पर अब भी नियमित पेनेट्रेशन टेस्ट कमीशन करती हैं — दोनों पूरक हैं।
जब कोई असली भेद्यता पुष्ट होती है तो क्या होता है?
यह डैशबोर्ड पर उस सबूत के साथ दिखाई देती है जिसने इसे पुष्ट किया, एक तैयार फिक्स के साथ। फिक्स सामान्य लूप के ज़रिए शिप होता है — जहां पॉलिसी की ज़रूरत हो वहां Guardrails समीक्षा, पब्लिश से पहले QA गेट्स — और ट्रेल फाइंडिंग और उसके समाधान को साथ दर्ज करता है।
हमारी सिक्योरिटी टीम इसका मूल्यांकन करना चाहती है — वे कहां से शुरू करें?
एक डेमो बुक करें और अपनी प्रश्नावली लाएं। SOC 2 Type II रिपोर्ट कंप्लायंस ट्रैक के ज़रिए NDA के तहत उपलब्ध हैं, और गंभीर प्रोडक्शन प्रोग्राम USD 10,000 प्रति वर्ष से शुरू होते हैं।