Sensible Daten wie Passwörter sollten in .env-Dateien liegen und wenn möglich nicht in Git-Repositories landen. Doch wahrscheinlich ist es jedem von uns schon mindestens einmal aus Versehen passiert: Schnell ein nettes Google Maps JS API Script auf GitHub Gists (als "public") veröffentlicht und dabei den eigenen privaten Maps-API-Key aus versehen nicht verschleiert.
Glücklicherweise klopft einem da auch seit kurzem das aufmerksame Google Cloud Platform Trust & Safety Team durch automatisierte E-Mails auf die Finger, die im großen Stil nicht nur github.com nach öffentlichen API Keys durchforsten:
Dear Customer,
we have detected a publicly accessible Google API key associated with the following Google Cloud Platform project:
...........................
Dann ist es spätestens Zeit zu handeln. Glücklicherweise ist selbst Git verzeihlich. Folgendes Bash-Script nutzt den tollen BFG Repo-Cleaner (nein, damit ist nicht die Waffe aus DOOM gemeint) und entfernt den API-Key in Zeile 5 im Git-Repository in Zeile 6:
0cb06f6f637d40148ce07994959944db
PS: Der API-Key in Zeile 5 ist ein Treppenwitz.