Az érzékeny adatoknak, például a jelszavaknak .env fájlokban kell lenniük, és ha lehetséges, ne kerüljenek a Git adattáraiba. De valószínűleg mindannyiunkkal előfordult már legalább egyszer tévedésből: Gyorsan közzétett egy szép Google Térkép JS API -szkriptet a GitHub Gists -en ("nyilvánosként") anélkül, hogy véletlenül leplezné saját privát Térkép API -kulcsát.
Szerencsére a figyelmes Google Cloud Platform Trust & Safety csapata nemrégiben elkezdte az ujjait ütögetni olyan automatikus e-mailekkel, amelyek nemcsak a github.com webhelyet keresik nyilvános API-kulcsokért.:
Tisztelt Ügyfelünk,
észleltünk egy nyilvánosan hozzáférhető Google API -kulcsot, amely a következő Google Cloud Platform projekthez kapcsolódik:
...........................
Akkor legkésőbb ideje cselekedni. Szerencsére még Git is megbocsátható. A következő bash szkript a nagy BFG repo tisztítót használja (nem, ez nem jelenti a fegyvert a DOOM -ból), és eltávolítja az API kulcsot a 6. sor Git tárának 5. sorában:
0cb06f6f637d40148ce07994959944db
PS: Az API kulcs az 5. sorban vicc.