يجب أن تكون البيانات الحساسة مثل كلمات المرور في ملفات .env ، وإذا أمكن ، لا ينتهي بها الأمر في مستودعات Git. ولكن ربما حدث ذلك لكل واحد منا مرة واحدة على الأقل عن طريق الخطأ: نشر سريعًا نصًا برمجيًا لطيفًا لواجهة برمجة تطبيقات JS لخرائط Google على GitHub Gists (كـ "عام") دون إخفاء مفتاح API للخرائط الخاص بنا عن طريق الخطأ.
لحسن الحظ ، بدأ فريق Google Cloud Platform Trust & Safety اليقظ مؤخرًا في النقر بأصابعك باستخدام رسائل البريد الإلكتروني الآلية التي لا تقوم فقط بمسح موقع github.com بحثًا عن مفاتيح API العامة على نطاق واسع:
عزيزي الزبون،
لقد اكتشفنا مفتاح Google API يمكن الوصول إليه بشكل عام ومرتبط بمشروع Google Cloud Platform التالي:
...........................
ثم حان وقت العمل على أبعد تقدير. لحسن الحظ ، حتى جيت يمكن مسامحته. يستخدم سكربت bash التالي منظف BFG repo الرائع (لا ، هذا لا يعني السلاح من DOOM) ويزيل مفتاح API في السطر 5 من مستودع Git في السطر 6:
0cb06f6f637d40148ce07994959944db
ملاحظة: مفتاح API في السطر 5 مزحة.