API-ключи
2 статей с этим тегом
Останавливайте секреты до коммита с gitleaks: ловите утечки API-ключей до push
Секреты нельзя «удалить после утечки». Раз закоммиченный, секрет остаётся в истории Git, а раз запушенный — его надо считать утёкшим: ключ нужно отозвать/сменить. gitleaks — бесплатный инструмент, сканирующий весь репозиторий и историю коммитов по regex/энтропии, чтобы найти API-ключи, приватные ключи и токены. Ядро защиты — двое ворот: хук pre-commit, останавливающий локально до push, и CI/cron, ловящий то, что просочилось. .gitignore лишь предотвращает новое отслеживание — он не умеет обнаруживать, так что сканер всё равно нужен.
Основы безопасности: чем на самом деле опасны .env и API-ключи
Начните здесь. Поймите, что происходит при утечке .env и API-ключей (запасной ключ → выдача себя за вас → мошеннические счета), затем заведите четыре привычки сегодня: не выставлять их наружу, не коммитить, сменить всё при утечке и самопроверяться.