- 永远不要将真实的API密钥提交到Git仓库
- 永远不要在代码中硬编码API密钥
- 永远不要在日志中输出API密钥
# 复制环境变量模板
cp emoji_boy/env_example.txt .env
# 编辑 .env 文件,填入你的真实API密钥
nano .env# .env 文件示例
OPENAI_API_KEY=sk-your-actual-openai-key-here
HUGGINGFACE_API_KEY=hf-your-actual-huggingface-key-here如果需要在运行时配置API,请使用以下格式:
base_url="https://ark.cn-beijing.volces.com/api/v3"
api_key=your_actual_api_key_here
model="doubao-seed-1-6-flash-250615"
- 确认
.env文件已添加到.gitignore - 确认
api_config.json已添加到.gitignore - 检查代码中没有硬编码的API密钥
- 确认日志中不会输出API密钥
- 定期轮换API密钥
- 立即撤销泄露的API密钥
- 生成新的API密钥
- 更新所有使用该密钥的地方
- 检查Git历史,确保没有提交敏感信息
- 通知相关方(如果涉及第三方服务)
- 使用环境变量而不是配置文件
- 使用密钥管理服务(如AWS Secrets Manager、Azure Key Vault)
- 定期审计代码中的敏感信息
- 使用预提交钩子检查敏感信息
- 培训团队成员安全编码实践
可以使用以下工具扫描代码中的敏感信息:
# 使用 git-secrets
git secrets --install
git secrets --register-aws
# 使用 truffleHog
pip install truffleHog
truffleHog --regex --entropy=False .
# 使用 detect-secrets
pip install detect-secrets
detect-secrets scan .