I dati sensibili come le password dovrebbero essere nei file .env e, se possibile, non finire nei repository Git. Ma probabilmente è successo a ciascuno di noi almeno una volta per errore: ha pubblicato rapidamente un simpatico script API JS di Google Maps su GitHub Gists (come "pubblico") senza mascherare accidentalmente la nostra chiave API privata di Maps.
Fortunatamente, l'attento team Trust & Safety di Google Cloud Platform ha recentemente iniziato a toccarti le dita con e-mail automatizzate che non solo perlustrano github.com alla ricerca di chiavi API pubbliche su larga scala:
Caro cliente,
abbiamo rilevato una chiave API di Google accessibile pubblicamente associata al seguente progetto Google Cloud Platform:
...........................
Allora è il momento di agire al più tardi. Fortunatamente, anche Git è perdonabile. Il seguente script bash utilizza il grande pulitore di repository BFG (no, questo non significa l' arma da DOOM) e rimuove la chiave API nella riga 5 del repository Git nella riga 6:
0cb06f6f637d40148ce07994959944db
PS: la chiave API nella riga 5 è uno scherzo.