Google API कुञ्जीहरू गोप्य थिएनन्, तर त्यसपछि जेमिनीले नियमहरू परिवर्तन गर्यो | Mewayz Blog Skip to main content
Hacker News

Google API कुञ्जीहरू गोप्य थिएनन्, तर त्यसपछि जेमिनीले नियमहरू परिवर्तन गर्यो

टिप्पणीहरू

2 min read Via trufflesecurity.com

Mewayz Team

Editorial Team

Hacker News

जब "डिजाइन द्वारा सार्वजनिक" सुरक्षा दायित्व बन्छ

लगभग दुई दशकदेखि, Google को इकोसिस्टममा निर्माण गर्ने विकासकर्ताहरूले एउटा सूक्ष्म तर महत्त्वपूर्ण पाठ सिके: Google API कुञ्जीहरू वास्तवमा गोप्य होइनन्। यदि तपाईंले JavaScript फाइलमा YouTube डाटा API कुञ्जी इम्बेड गर्नुभयो भने, Google सचेत थिएन। यदि तपाइँको नक्सा एपीआई कुञ्जी सार्वजनिक GitHub भण्डारमा देखा पर्यो भने, सुरक्षा प्रतिक्रिया अनिवार्य रूपमा एक श्रग र डोमेन प्रतिबन्धहरू सेट गर्न रिमाइन्डर थियो। सम्पूर्ण मोडेल यी कुञ्जीहरू क्लाइन्ट-साइड कोडमा रहनेछन् भन्ने धारणाको वरिपरि बनाइएको थियो, जसले DevTools खोल्ने जो कोहीको लागि खुलासा हुन्छ।

त्यो दर्शनले लामो समयसम्म अर्थ राख्यो। डोमेन प्रतिबन्ध बिना खुलासा गरिएको नक्सा एपीआई कुञ्जीले अचम्मको बिल उठाउन सक्छ, तर यसले बिरामीको रेकर्डमा सम्झौता गर्न वा बैंक खातालाई निकास गर्न गइरहेको थिएन। विस्फोट त्रिज्या आर्थिक र व्यवस्थित थियो। Google को टूलिङ — रेफरर प्रतिबन्धहरू, IP ह्वाइटलिस्टिङ, कोटा सीमा — क्षति समावेश गर्न डिजाइन गरिएको थियो, पूर्ण रूपमा एक्सपोजर रोक्न होइन।

त्यसपछि मिथुन आइपुग्यो, र नियमहरू परिवर्तन भयो। समस्या यो हो कि लाखौं विकासकर्ताहरूले मेमो प्राप्त गरेका छैनन्।

विरासत मानसिक मोडेल जुन अब विकासकर्ताहरूलाई जलाउँदै छ

पुरानो Google विकासकर्ता अनुभव जानाजानी अनुमति थियो। जब तपाईंले नक्सा JavaScript API कुञ्जी सिर्जना गर्नुभयो, कागजातले व्यावहारिक रूपमा तपाइँलाई यसलाई तपाइँको HTML मा छोड्न प्रोत्साहित गर्यो। सुरक्षा मोडेल गोप्यता थिएन - यो प्रतिबन्ध थियो। तपाईंले आफ्नो डोमेनको कुञ्जी लक गर्नुहुनेछ, कोटा अलर्टहरू सेट गर्नुहोस्, र अगाडि बढ्नुहोस्। यो व्यावहारिक ईन्जिनियरिङ् थियो: क्लाइन्ट-साइड अनुप्रयोगहरूले निश्चित प्रयोगकर्ताहरूबाट गोप्य रूपमा राख्न सक्दैन, त्यसैले Google ले त्यो वास्तविकतालाई स्वीकार गर्ने प्रणाली निर्माण गर्‍यो।

यसले विकासकर्ताहरूको पुस्ता सिर्जना गर्‍यो — र अझ महत्त्वपूर्ण कुरा, संस्थागत बानीहरूको पुस्ता — जहाँ गुगल एपीआई कुञ्जीहरूले स्ट्राइप गोप्य कुञ्जी वा AWS पहुँच प्रमाणहरू भन्दा फरक मानसिक वर्ग ओगटेका छन्। तपाईंले आफ्नो स्ट्राइप गोप्य कुञ्जीलाई सार्वजनिक रिपोमा टाँस्नुहुन्न। तर तपाईको नक्सा कुञ्जी? त्यो व्यावहारिक रूपमा कन्फिगरेसन मान थियो, गोप्य होइन। धेरै टोलीहरूले तिनीहरूलाई सार्वजनिक-फेसिङ कन्फिग फाइलहरू, README फाइलहरूमा भण्डारण गरे, क्लाइन्ट-साइड वातावरण चरहरूमा पनि NEXT_PUBLIC_ वा REACT_APP_ कुनै दोस्रो विचार बिना नै।

सुरक्षा अनुसन्धाताहरूले GitHub स्क्यान गर्दै खुला प्रमाणहरूका लागि Google API कुञ्जीहरूलाई पनि फरक तरिकाले व्यवहार गर्न सिके। एउटा लीक गरिएको नक्सा कुञ्जी कम-गम्भीरता खोज थियो। लीक गरिएको मिथुन कुञ्जी एकदमै फरक कुराकानी हो।

मिथुनसँग के परिवर्तन भयो — र किन यो महत्त्वपूर्ण छ

Google को Gemini API ले पुरानो प्लेबुकलाई पछ्याउँदैन। जब तपाईंले Google AI स्टुडियो मार्फत Gemini API कुञ्जी उत्पन्न गर्नुहुन्छ, तपाईंले नक्सा वा YouTube कुञ्जी भन्दा मौलिक रूपमा फरक जोखिम प्रोफाइलको साथ प्रमाणहरू सिर्जना गर्दै हुनुहुन्छ। जेमिनी कुञ्जीहरूले ठूला भाषा मोडेल इन्फरेन्समा पहुँच प्रमाणित गर्दछ — एउटा सेवा जसले गुगल वास्तविक गणना स्रोतहरू खर्च गर्छ र जसले तपाईंलाई टोकनद्वारा बिल दिन्छ, पृष्ठदृश्यद्वारा होइन।

अझै आलोचनात्मक रूपमा, जेमिनी एपीआई कुञ्जीहरूमा उस्तै अन्तर्निहित डोमेन प्रतिबन्ध संयन्त्रहरू छैनन् जसले अन्य Google कुञ्जीहरूलाई जीवित राख्न सक्षम बनायो। त्यहाँ कुनै साधारण "यसलाई मेरो वेबसाइटको डोमेनमा लक गर्नुहोस्" नियन्त्रण छैन जसले आक्रमणकारीलाई सार्वजनिक भण्डारमा तपाइँको कुञ्जी फेला पार्ने व्यक्तिलाई तपाइँको आफ्नै अनुप्रयोग स्पिन गर्न र तपाइँको कोटा - वा तपाइँको बिलिङ सीमा - अर्को देशको सर्भरबाट प्रयोग गर्नबाट रोक्न सक्छ।

खतरा आर्थिक मात्र होइन। एक खुला मिथुन कुञ्जी हानिकारक सामग्री उत्पन्न गर्न, शीघ्र इंजेक्शन आक्रमणहरू सञ्चालन गर्न, वा Google सेवाका सर्तहरू उल्लङ्घन गर्ने उपकरणहरू निर्माण गर्न प्रयोग गर्न सकिन्छ — सबै तपाईंको खातामा बिल लगाइन्छ र तपाईंको पहिचानमा फिर्ता ट्रेस गर्न सकिन्छ।

२०२४ मा, सुरक्षा अनुसन्धानकर्ताहरूले GitHub मा मात्रै हजारौं खुला जेमिनी एपीआई कुञ्जीहरू पहिचान गरे, तीमध्ये धेरै भण्डारहरूमा छन् जसले पहिले घटना बिना अन्य Google API कुञ्जीहरू होस्ट गरेका थिए। विकासकर्ताहरू तिनीहरूको आफ्नै ऐतिहासिक मापदण्डहरूद्वारा लापरवाह थिएनन् — तिनीहरूले एक मानसिक मोडेल लागू गरिरहेका थिए जुन Google आफैले तिनीहरूलाई प्रयोग गर्न तालिम दिएको थियो। वातावरण बानी भन्दा छिटो परिवर्तन भयो।

द एनाटॉमी अफ एन एक्सिडेन्टल एक्सपोजर

यी एक्सपोजरहरू कसरी हुन्छन् भन्ने कुरा बुझ्नु तिनीहरूलाई रोक्नको लागि पहिलो कदम हो। विफलता मोडहरू सबै आकारका टोलीहरूमा उल्लेखनीय रूपमा एकरूप छन्:

  • वातावरण चर गलत वर्गीकरण: Google नक्सा कुञ्जीहरूमा प्रयोग हुने विकासकर्ताहरूले NEXT_PUBLIC_ वा VITE_ सँग जेमिनी कुञ्जीहरू उपसर्ग लगाउँछन्, तिनीहरूलाई तुरुन्तै बन्डल गरिएको क्लाइन्ट-साइड कोडमा उजागर गर्दै।
  • रिपोजिटरी इतिहास प्रदूषण: कन्फिगरेसन फाइलमा कुञ्जी थपियो, प्रतिबद्ध, त्यसपछि हटाइयो — तर git इतिहास अनिश्चित कालसम्म खोज्न योग्य रहन्छ। आक्रमणकारीहरूले यो इतिहास माइन गर्न विशेष गरी truffleHoggitleaks जस्ता उपकरणहरू प्रयोग गर्छन्।
  • नोटबुक र प्रोटोटाइप चुहावट: Jupyter नोटबुकहरूमा जेमिनी एकीकरणको प्रोटोटाइप गर्ने डाटा वैज्ञानिकहरूले ती नोटबुकहरूलाई सेल आउटपुटहरूमा इम्बेड गरिएका कुञ्जीहरूको साथ GitHub मा धकेल्छन्।
  • CI/CD गलत कन्फिगरेसन: रिपोजिटरी गोप्य रूपमा भण्डारण गरिएका कुञ्जीहरू गल्तिले GitHub कार्य वा समान प्लेटफर्महरूमा सार्वजनिक रूपमा देखिने बिल्ड लगहरूमा प्रतिध्वनित हुन्छन्।
  • तेस्रो-पक्ष सेवा फैलावट: विकासकर्ताहरूले ती प्लेटफर्महरूको सुरक्षा आसनहरूको समीक्षा नगरिकन एनालिटिक्स ड्यासबोर्डहरू, नो-कोड उपकरणहरू, वा एकीकरण प्लेटफर्महरूमा कुञ्जीहरू टाँस्छन्।
  • टीम संचार च्यानलहरू: स्ल्याक, डिसकॉर्ड वा इमेलमा साझा गरिएका कुञ्जीहरू खोजीयोग्य सन्देश इतिहासहरूमा समाप्त हुन्छन् जुन रोटेशन तालिका भन्दा बाहिर रहन्छ।

सामान्य थ्रेड लापरवाही होइन - यो सन्दर्भ पतन हो। एउटा सन्दर्भमा (गुगल नक्साको विकास) सुरक्षित भएको व्यवहार अर्को (मिथुन विकास) मा खतरनाक हुन्छ, र प्रमाणहरूको दृश्य समानताले छुटाउन सजिलो बनाउँछ।

सेक्रेट म्यानेजमेन्ट कल्चर निर्माण गर्ने जुन स्केल हुन्छ

मिथुन अवस्था धेरै विकास टोलीहरूले स्थगित गरेको कुराको लागि एक उपयोगी बाध्यकारी कार्य हो: तदर्थ दृष्टिकोणको सट्टा वास्तविक रहस्य व्यवस्थापन पूर्वाधार निर्माण। साना टोलीहरूका लागि, यो ओभरइन्जिनियरिङ जस्तो लाग्न सक्छ, तर एक प्रमाण प्रदर्शनको लागत — बिलिङ धोखाधडी, खाता निलम्बन, डेटा उल्लंघन सूचनाहरू — यो सही गर्ने प्रयासलाई धेरै हदसम्म बढी हुन्छ।

आधुनिक गोप्य व्यवस्थापनले टायर्ड दृष्टिकोण पछ्याउँछ। पूर्वाधार स्तरमा, HashiCorp Vault, AWS Secrets Manager, वा Google Secret Manager जस्ता उपकरणहरूले स्वचालित रोटेशन क्षमताहरूसँग केन्द्रीकृत, अडिट योग्य प्रमाण भण्डारण प्रदान गर्दछ। यी ठूला उद्यमहरूका लागि मात्र होइनन् — Doppler र Infisical जस्ता सेवाहरूले पहुँचयोग्य मूल्य बिन्दुहरूमा दुई वा तीन विकासकर्ताहरूको टोलीलाई समान ढाँचाहरू ल्याउँदछ।

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

कोड स्तरमा, अनुशासन सरल छ: प्रमाणहरूले स्रोत कोडलाई कहिल्यै छुँदैन। फुल स्टप। कमेन्ट-आउट लाइनहरूमा होइन, उदाहरण फाइलहरूमा होइन, नक्कली देखिने मानहरू भएका परीक्षण फिक्स्चरहरूमा होइन जुन वास्तविक हुन जान्छ। पूर्व-कमिट हुकहरू चलिरहेको उपकरणहरू जस्तै डिटेक्ट-सेक्रेट्स वा gitleaks रिमोट रिपोजिटरीहरूमा पुग्न अघि उल्लङ्घनहरू समात्नुहोस्। यी हुकहरूले कन्फिगर गर्न मिनेटहरू लिन्छन् र तपाईंको घटना प्रतिक्रिया चिन्ताबाट वर्षौं।

जटिल परिचालन स्ट्याकहरू चलाउने संस्थाहरूका लागि — CRM कार्यप्रवाहहरूबाट ग्राहक-फेसिङ बुकिङ प्रणालीहरूमा पेरोल एकीकरणसम्म सबै कुराको व्यवस्थापन गर्ने — केन्द्रीकृत प्रमाण व्यवस्थापन अझ महत्वपूर्ण हुन्छ। Mewayz जस्ता प्लेटफर्महरू, जसले एकल परिचालन छाता अन्तर्गत 207 व्यापार मोड्युलहरूलाई एकीकृत गर्दछ, तिनीहरूको मूलमा यो सिद्धान्तको साथ बनाइएको छ: प्रमाणहरू र API एकीकरणहरू प्लेटफर्म स्तरमा व्यवस्थित हुन्छन्, व्यक्तिगत मोड्युलहरू वा व्यक्तिगत विकासकर्ताहरूको वातावरणमा छरिएका छैनन्। जब कुञ्जी घुमाउन आवश्यक छ, यो एक पटक हुन्छ, एकै ठाउँमा, सत्रह विभिन्न एकीकरण बिन्दुहरूमा होइन।

बिलिङ आक्रमण भेक्टर: एक खतरा मोडेल विकासकर्ताहरूले कम आँकलन गर्दछ

सुरक्षा छलफलहरू प्रायः डाटा उल्लंघन र अनाधिकृत पहुँचमा केन्द्रित हुन्छन्। मिथुन एक्सपोजर समस्याले समान ध्यानको योग्य तेस्रो खतरा मोडेल थप्छ: स्केलमा बिलिङ धोखाधडी।

ठूलो भाषा मोडेल अनुमान महँगो छ। GPT-4 र जेमिनी अल्ट्रा प्रोसेस टोकनहरू प्रत्येक एक सेन्टको अंशमा, तर स्केलमा - हजारौं अनुरोधहरू, लाखौं टोकनहरू - ती अंशहरूले धेरै छिटो हजारौं डलरमा जोड्छन्। खुला AI API कुञ्जीहरू पत्ता लगाउने आक्रमणकारीहरूले तपाईंको डाटा चाहँदैनन्। तिनीहरू नि: शुल्क गणना चाहन्छन्। तिनीहरूले तपाईंको प्रमाणहरू तिनीहरूको आफ्नै AI सेवाहरू चलाउन, अनुमान क्षमता पुन: बेच्न, वा तिनीहरूका अनुप्रयोगहरूको तनाव-परीक्षण गर्न प्रयोग गर्नेछन् — बिल तपाईंलाई जाँदा।

एक विकासकर्ताले सार्वजनिक भण्डारमा छ घण्टा भन्दा कम समयको लागि खुला गरिएको जेमिनी कुञ्जीबाट $ 23,000 को बिल उठेको दस्तावेज। आक्रमणकारीले तुरुन्तै शोषणलाई स्वचालित बनाएको थियो, गुगलको जालसाजी पत्ता नलागेसम्म उच्च-थ्रुपुट उत्पादन कार्यहरू निरन्तर चलाउँदै। विकासकर्ताले अन्ततः लामो विवाद प्रक्रिया पछि शुल्कहरू उल्टाइयो, तर खातालाई त्यस अवधिमा निलम्बित गरियो, उत्पादन सेवाहरू यससँग हटाइयो।

यही कारणले गर्दा बिलिङ अलर्टहरू र कोटा सीमाहरू उचित गोप्य व्यवस्थापनको विकल्प होइनन् — तिनीहरू रक्षाको अन्तिम पङ्क्ति हुन् जुन तपाईंलाई कहिल्यै आवश्यक पर्दैन भन्ने आशा छ। AI API खाताहरूमा कडा मासिक खर्च सीमाहरू सेट गर्नु अहिले तालिकाको दाँव हो, तर वास्तविक सुरक्षाले ती प्रमाणहरू पहिलो स्थानमा कहिल्यै चुहावट नहोस् भन्ने सुनिश्चित गर्नु हो।

सक्रमण गर्ने टोलीहरूका लागि व्यावहारिक चरणहरू

यदि तपाईंको टोलीले पुरानो मानसिक मोडेल अन्तर्गत Google API एकीकरणहरू निर्माण गरिरहेको छ र अब स्ट्याकमा मिथुन थप्दै छ भने, यहाँ एउटा यथार्थपरक उपचार जाँच सूची छ:

  1. अवस्थित रिपोजिटरीहरू तुरुन्तै अडिट गर्नुहोस्। चलाउनुहोस् truffleHog वा gitleaks तपाईंको पूर्ण git इतिहास विरुद्ध, हालको HEAD मात्र होइन। विगतमा Google API कुञ्जी प्रयोग भएको कुनै पनि भण्डारमा विशेष गरी फोकस गर्नुहोस्।
  2. सबै खुला गरिएका कुञ्जीहरू घुमाउनुहोस्। यदि मिथुन कुञ्जी कहिल्यै कमिटमा देखा परेको छ भने, यो सम्झौता गरिएको मान्नुहोस्। यसलाई रद्द गर्नुहोस् र एउटा नयाँ सिर्जना गर्नुहोस्। "वास्तवमा" कसैले फेला पारेन कि भनेर मूल्याङ्कन गर्ने प्रयास नगर्नुहोस्।
  3. प्रि-कमिट स्क्यानिङ लागू गर्नुहोस्। प्रत्येक विकासकर्ताको मेसिनमा र CI/CD पाइपलाइनहरूमा गैर-बाइपास गर्न सकिने गेटको रूपमा गोप्य पत्ता लगाउने हुकहरू स्थापना गर्नुहोस्।
  4. कुञ्जी इन्भेन्टरी स्थापना गर्नुहोस्। कुन सेवाहरूमा कुन प्रमाणहरू छन्, कसको स्वामित्वमा छ, उनीहरूलाई पछिल्लो पटक कहिले घुमाइएको थियो, र तिनीहरू कहाँ प्रयोग गरिन्छ भनी जान्नुहोस्। एक स्प्रेडसिट एक राम्रो सुरूवात बिन्दु हो; एक गोप्य प्रबन्धक गन्तव्य हो।
  5. बिलिङ अलर्टहरू र कडा सीमाहरू सेट गर्नुहोस्। प्रत्येक AI API खातामा, तपाईंको अपेक्षित मासिक खर्चको 50% र 80% मा अलर्टहरू कन्फिगर गर्नुहोस्, र विनाशकारी बिलिङ घटनाहरूलाई रोक्न सक्ने कडा सीमाहरू सेट गर्नुहोस्।
  6. नयाँ मानसिक मोडेललाई स्पष्ट रूपमा कागजात गर्नुहोस्। तपाईंको टोलीको अनबोर्डिङ सामग्री र इन्जिनियरिङ ह्यान्डबुक अपडेट गर्नुहोस् कि जेमिनी API कुञ्जीहरू उच्च-संवेदनशीलता प्रमाणहरू हुन् जसलाई भुक्तानी प्रोसेसर गोप्यहरू जस्तै व्यवहार चाहिन्छ।

प्लेटफर्म-निर्भर व्यवसायहरूको लागि फराकिलो पाठ

जेमिनीको स्थितिले तेस्रो-पक्ष प्लेटफर्महरूसँग गहिरो रूपमा एकीकृत कुनै पनि व्यवसायलाई असर गर्ने ढाँचालाई चित्रण गर्छ: प्लेटफर्महरू विकसित हुन्छन्, र सुरक्षा आसन आवश्यकताहरू तिनीहरूसँग विकसित हुन्छन्, तर ती प्लेटफर्महरू प्रयोग गर्ने टोलीहरूको संस्थागत बानीहरू प्रायः गतिमा रहँदैनन्। हिजो के सुरक्षित थियो आज खतरनाक छ, र ती दुई राज्य बीचको खाडल जहाँ उल्लङ्घन हुन्छ।

यो विशेष गरी जटिल परिचालन स्ट्याकहरू चलाउने व्यवसायहरूको लागि तीव्र छ। ग्राहक सेवा, विश्लेषण, सामग्री उत्पादन, र उत्पादन सिफारिसहरूमा AI-संचालित सुविधाहरू प्रयोग गर्ने कम्पनीले दर्जनौं फरक सन्दर्भहरूमा मिथुन एकीकरणहरू हुन सक्छ - प्रत्येक एक सम्भावित एक्सपोजर बिन्दु हो यदि प्रमाणहरू असंगत रूपमा ह्यान्डल गरिएको छ। समाधान व्यक्तिगत विकासकर्ता बानीहरू मात्र होइन; यो वास्तु हो। क्रेडेन्सियल पहुँचलाई प्लेटफर्म स्तरमा केन्द्रीकृत, लेखापरीक्षण र शासित हुन आवश्यक छ।

आधुनिक व्यापार अपरेटिङ सिस्टमहरू यसलाई ध्यानमा राखेर डिजाइन गरिएका छन्। जब Mewayz ले आफ्नो 207-मोड्युल इकोसिस्टममा बौद्धिक CRM कार्यप्रवाहबाट स्वचालित एनालिटिक्ससम्म - आफ्नो सुइटमा AI क्षमताहरूलाई एकीकृत गर्छ — प्रमाणपत्र व्यवस्थापनलाई पूर्वाधार तहमा ह्यान्डल गरिन्छ, अनुप्रयोग तहमा होइन। व्यक्तिगत मोड्युल विकासकर्ताहरूले कच्चा API कुञ्जीहरू ह्यान्डल गर्दैनन्; तिनीहरूले अमूर्त तहहरू मार्फत क्षमताहरू पहुँच गर्छन् जसले रोटेशन नीतिहरू लागू गर्दछ, अडिट पहुँच, र यदि केहि गलत भयो भने ब्लास्ट रेडियस सीमित गर्दछ। यो मिथुन युगले माग गरेको वास्तुकला हो: राम्रो बानी मात्र होइन, तर राम्रो प्रणाली जसले सही बानी मात्र उपलब्ध विकल्प बनाउँछ।

गुगलले नक्सा र YouTube को लागि अनुमति दिने API कुञ्जी मोडेल बनाउन गल्ती गरेन। त्यो मोडेल ती सेवाहरूको लागि उपयुक्त थियो। तर API हरूको क्षमता र लागत प्रोफाइलहरू नाटकीय रूपमा विकसित हुँदै गएको रूपमा - र AI APIs ले त्यो विकासमा सम्भवतः सबैभन्दा तीव्र इन्फ्लेक्शन बिन्दु प्रतिनिधित्व गर्दछ - सम्पूर्ण उद्योगले यसको पूर्वनिर्धारितहरू रिसेट गर्न आवश्यक छ। यस वातावरणमा फस्टाउने विकासकर्ताहरू पुराना नियमहरू राम्रोसँग सिक्नेहरू होइनन्, तर नियमहरू मौलिक रूपमा परिवर्तन भएको बेला पहिचान गर्नेहरू हुनेछन्।

बारम्बार सोधिने प्रश्नहरू

सार्वजनिक रूपमा पर्दाफास गर्नको लागि किन Google API कुञ्जीहरूलाई ऐतिहासिक रूपमा सुरक्षित मानिएको थियो?

Google ले आफ्ना धेरै API हरू - नक्सा, YouTube, स्थानहरू - ग्राहक-साइड प्रयोगको लागि डिजाइन गरेको छ, जसको अर्थ कुञ्जीहरू जानाजानी जो कोहीले देख्न सक्ने फ्रन्ट-एन्ड कोडमा इम्बेड गरिएका थिए। सुरक्षा मोडेलले कुञ्जी गोप्यताको सट्टा डोमेन अनुमति सूचीहरू र रेफरर जाँचहरू जस्ता प्रयोग प्रतिबन्धहरूमा भर पर्यो। वर्षौंको लागि, एक खुला कुञ्जीलाई कन्फिगरेसन समस्या मानिन्थ्यो, तत्काल रोटेशन आवश्यक पर्ने महत्वपूर्ण जोखिम होइन।

गुगलले जेमिनी एपीआई कुञ्जीहरू प्रस्तुत गर्दा के परिवर्तन भयो?

लेगेसी गुगल एपीआईहरू भन्दा फरक, जेमिनी एपीआई कुञ्जीहरू परम्परागत गोप्यहरू जस्तै कार्य गर्दछ - एकलाई उजागर गर्दा तपाईंको बिलिङ खातामा अनधिकृत शुल्कहरू, मोडेल दुरुपयोग, वा तपाईंलाई बचत गर्न कुनै अन्तर्निहित डोमेन प्रतिबन्ध बिना कोटा थकान हुन सक्छ। परिवर्तनको मतलब विकासकर्ताहरूले अब जेमिनी कुञ्जीहरूलाई AWS प्रमाणहरू वा स्ट्राइप गोप्य कुञ्जीहरू जस्तै अनुशासनका साथ व्यवहार गर्नुपर्छ, तिनीहरूलाई सर्भर-साइड भण्डारण गर्दै र ग्राहक-फेसिङ कोडमा कहिल्यै हुँदैन।

विकासकर्ताहरूले आज AI सेवाहरूको लागि API कुञ्जीहरू कसरी सुरक्षित रूपमा व्यवस्थापन गर्नुपर्छ?

सर्वश्रेष्ठ अभ्यास भनेको सबै AI API कुञ्जीहरूलाई सर्भरमा वातावरणीय चरको रूपमा भण्डारण गर्नु हो, संस्करण-नियन्त्रित फाइलहरू वा क्लाइन्ट बन्डलहरूमा कहिले पनि। गोप्य प्रबन्धक प्रयोग गर्नुहोस्, कुञ्जीहरू नियमित रूपमा घुमाउनुहोस्, र प्रदायक स्तरमा खर्च सीमाहरू सेट गर्नुहोस्। Mewayz जस्ता प्लेटफर्महरू - app.mewayz.com मा $19/mo मा उपलब्ध 207-मोड्युल व्यवसाय OS — तिनीहरूको पूर्वाधार भित्र API प्रमाण व्यवस्थापन ह्यान्डल गर्दछ ताकि टोलीहरूले सेवाहरूमा म्यानुअल रूपमा कुञ्जीहरू जुगल गर्दैनन्।

यदि मैले पहिले नै गल्तिले जेमिनी एपीआई कुञ्जी उजागर गरेको छु भने मैले के गर्नुपर्छ?

गुगल क्लाउड कन्सोल मार्फत तुरुन्तै सम्झौता गरिएको कुञ्जी रद्द गर्नुहोस् र अरू केहि गर्नु अघि प्रतिस्थापन उत्पन्न गर्नुहोस्। अप्रत्याशित उपयोग स्पाइकहरूको लागि आफ्नो बिलिङ ड्यासबोर्ड अडिट गर्नुहोस् जसले कुञ्जी काटिएको संकेत गर्न सक्छ। त्यसपछि तपाईंको कोडबेस, CI/CD वातावरण चरहरू, र अन्य लीक प्रमाणहरूका लागि कुनै पनि सार्वजनिक भण्डारहरूको समीक्षा गर्नुहोस्। घटनालाई तपाईंले कुनै पनि खुला भुक्तानी प्रमाणहरू जस्तै व्यवहार गर्नुहोस् — यो फेला परेको मान्नुहोस् र तदनुसार कार्य गर्नुहोस्।