የጉግል ኤፒአይ ቁልፎች ሚስጥሮች አልነበሩም፣ነገር ግን ጀሚኒ ህጎቹን ቀይሯል።
አስተያየቶች
Mewayz Team
Editorial Team
"ይፋዊ በንድፍ" የደህንነት ተጠያቂነት በሚሆንበት ጊዜ
ወደ ሁለት አስርት ዓመታት ለሚጠጋ ጊዜ በGoogle ስነ-ምህዳር ላይ የገነቡ ገንቢዎች ስውር ነገር ግን ጠቃሚ ትምህርት ተምረዋል፡ የGoogle API ቁልፎች በእውነት ሚስጥሮች አይደሉም። የዩቲዩብ ዳታ ኤፒአይ ቁልፍ በጃቫስክሪፕት ፋይል ውስጥ ከከተተ ጉግል አልተደናገጠም። የእርስዎ የካርታዎች ኤፒአይ ቁልፍ በይፋዊ የ GitHub ማከማቻ ውስጥ ከታየ፣የደህንነት ምላሹ በዋናነት መናናቅ እና የጎራ ገደቦችን ለማዘጋጀት ማስታወሻ ነበር። ሞዴሉ በሙሉ የተገነባው እነዚህ ቁልፎች በደንበኛ-ጎን ኮድ ይኖራሉ፣ DevToolsን ለከፈተ ማንኛውም ሰው ተጋልጧል።
ያ ፍልስፍና ለረጅም ጊዜ ትርጉም ነበረው። ያለ የጎራ ገደቦች የተጋለጠ የካርታዎች ኤፒአይ ቁልፍ አስገራሚ ሂሳብ ሊሰበስብ ይችላል፣ ነገር ግን የታካሚ መዝገቦችን አያበላሽም ወይም የባንክ ሒሳቡን አያጠፋም። የፍንዳታው ራዲየስ የገንዘብ እና ማስተዳደር የሚችል ነበር። የጉግል መሳርያ — አጣቃሽ ገደቦች፣ የአይ ፒ የተፈቀደላቸው ዝርዝር፣ የኮታ ገደቦች — የተነደፈው ጉዳቱን እንዲይዝ እንጂ መጋለጥን ሙሉ በሙሉ ለመከላከል አይደለም።
ከዚያ ጀሚኒ መጣ፣ እና ህጎቹ ተቀየሩ። ችግሩ በሚሊዮኖች የሚቆጠሩ ገንቢዎች ማስታወሻውን አላገኙም።
አሁን ገንቢዎችን እያቃጠለ ያለው የድሮው የአእምሮ ሞዴል
የድሮው የጉግል ገንቢ ተሞክሮ ሆን ተብሎ የሚፈቀድ ነበር። የካርታ ጃቫ ስክሪፕት ኤፒአይ ቁልፍ ሲፈጥሩ ሰነዱ በቀጥታ ወደ ኤችቲኤምኤልዎ እንዲጥሉት ያበረታታዎታል። የደህንነት ሞዴል ሚስጥራዊነት አልነበረም - ገደብ ነበር። የጎራዎን ቁልፍ ቆልፈው የኮታ ማንቂያዎችን ያቀናብሩ እና ይቀጥሉ። ይህ ተግባራዊ ምህንድስና ነበር፡ ከደንበኛ ጋር የተያያዙ አፕሊኬሽኖች በትክክል ከተወሰኑ ተጠቃሚዎች ሚስጥሮችን መጠበቅ አይችሉም፣ ስለዚህ Google ያንን እውነታ የሚቀበል ስርዓት ገነባ።
ይህ የገንቢዎች ትውልድን ፈጠረ - እና በይበልጥ ደግሞ የተቋማዊ ልማዶች ትውልድ - የGoogle API ቁልፎች ከSripe ሚስጥራዊ ቁልፍ ወይም የAWS መዳረሻ ምስክርነት የተለየ የአእምሮ ምድብ የያዙበት። የእርስዎን Stripe ሚስጥራዊ ቁልፍ ወደ ይፋዊ ቦታ አይለጥፉም። ግን የእርስዎ ካርታዎች ቁልፍ? ያ በተግባር የማዋቀር እሴት እንጂ ሚስጥር አልነበረም። ብዙ ቡድኖች በሕዝብ ፊት በሚያማምሩ የማዋቀር ፋይሎች፣ README ፋይሎች፣ ከደንበኛ-ጎን የአካባቢ ተለዋዋጮች ውስጥ እንኳን በNEXT_PUBLIC_ ወይም በREACT_APP_ ቅድመ ቅጥያ ያለ ሁለተኛ ሀሳብ ያከማቻሉ።
የደህንነት ተመራማሪዎች የጉግል ኤፒአይ ቁልፎችን በተለየ መንገድ ማስተናገድን የተማሩትን የተጋለጠ ምስክርነት ለማግኘት GitHubን እየቃኙ ነው። የፈሰሰ የካርታዎች ቁልፍ ዝቅተኛ ክብደት ያለው ግኝት ነበር። የወጣ የጌሚኒ ቁልፍ ፍፁም የተለየ ውይይት ነው።
በጌሚኒ ምን ተለወጠ - እና ለምን አስፈላጊ ነው
የጉግል ጀሚኒ ኤፒአይ የድሮውን የመጫወቻ መጽሐፍ አይከተልም። በGoogle AI ስቱዲዮ በኩል የጌሚኒ ኤፒአይ ቁልፍ ሲያመነጩ፣ ከካርታዎች ወይም ከዩቲዩብ ቁልፍ በተለየ የአደጋ መገለጫ ምስክርነት እየፈጠሩ ነው። የጌሚኒ ቁልፎች ትልቅ የቋንቋ ሞዴል ኢንፈረንስ መዳረሻን ያረጋግጣሉ — ለGoogle እውነተኛ ስሌት ግብዓቶችን የሚያስከፍል እና በገጽ እይታ ሳይሆን በቶከን የሚያስከፍልዎ አገልግሎት።
በይበልጥ፣ የጌሚኒ ኤፒአይ ቁልፎች ሌሎች የGoogle ቁልፎችን ማጋለጥ እንዲተርፉ ያደረጉ ተመሳሳይ አብሮገነብ የጎራ ገደብ ዘዴዎች የላቸውም። በሕዝብ ማከማቻ ውስጥ ቁልፍህን ያገኘ አጥቂ የራሳቸውን መተግበሪያ አሽቀንጥረው ኮታህን — ወይም የክፍያ ገደብህን — ከሌላ አገር አገልጋይ እንዳይወስድ የሚከለክለው ቀላል “ይህን በድር ጣቢያዬ ላይ ቆልፍ” መቆጣጠሪያ የለም።እ.ኤ.አ. በ2024 የደህንነት ተመራማሪዎች በሺዎች የሚቆጠሩ የተጋለጡ የጌሚኒ ኤፒአይ ቁልፎችን GitHub ላይ ለይተው አውቀዋል፣ አብዛኛዎቹ ከዚህ ቀደም ሌሎች የGoogle API ቁልፎችን ያለምንም ችግር ያስተናገዱ ማከማቻዎች ውስጥ ናቸው። ገንቢዎቹ በራሳቸው የታሪክ መመዘኛዎች ግድየለሾች አልነበሩም - Google ራሱ እንዲጠቀሙበት ያሰለጠናቸውን የአዕምሮ ሞዴል ተግባራዊ እያደረጉ ነበር። አካባቢው ከልማዶቹ በበለጠ ፍጥነት ተለውጧል።አደጋው የገንዘብ ብቻ አይደለም። የተጋለጠ የጌሚኒ ቁልፍ ጎጂ ይዘት ለማመንጨት፣ ፈጣን መርፌ ጥቃቶችን ለማካሄድ ወይም የGoogleን የአገልግሎት ውል የሚጥሱ መሳሪያዎችን ለመገንባት ሊያገለግል ይችላል - ሁሉም ወደ መለያዎ የሚከፈል እና ከማንነትዎ ጋር የሚመጣ ነው።
የአደጋ ተጋላጭነት አናቶሚ
እነዚህ ተጋላጭነቶች እንዴት እንደሚከሰቱ መረዳት እነሱን ለመከላከል የመጀመሪያው እርምጃ ነው። ውድቀቶች ሁነታዎች በሚያስደንቅ ሁኔታ በሁሉም መጠን ባላቸው ቡድኖች ላይ ወጥነት አላቸው፡
- የአካባቢ ተለዋዋጭ የተሳሳተ ምደባ፡ የGoogle ካርታዎች ቁልፎችን የሚጠቀሙ ገንቢዎች የጌሚኒ ቁልፎችን ከNEXT_PUBLIC_ወይምVITE_ ጋር በቅጽበት በቅጽበት በደንበኛ-ጎን ኮድ ያጋልጣሉ።
- የማከማቻ ታሪክ መበከል፡ ቁልፉ ወደ ውቅር ፋይል ታክሏል፣ ገብቷል፣ ከዚያም ይወገዳል - ግን የgit ታሪክ ላልተወሰነ ጊዜ መፈለግ የሚችል ነው። አጥቂዎች እንደ truffleHog እና gitleaks ያሉ መሳሪያዎችን በተለይ ለዚህ ታሪክ የእኔን ታሪክ ይጠቀማሉ።
- ማስታወሻ ደብተር እና የፕሮቶታይፕ መፍሰስ፡ በጁፒተር ማስታወሻ ደብተሮች ውስጥ የጌሚኒ ውህደትን በመቅረጽ የውሂብ ሳይንቲስቶች እነዚያን ማስታወሻ ደብተሮች ወደ GitHub በሴል ውጤቶች ውስጥ ከተካተቱት ቁልፎች ጋር ይገፋፋሉ። የ
- CI/ሲዲ የተሳሳተ ውቅረት፡ እንደ ማከማቻ ሚስጥር የተቀመጡ ቁልፎች በአጋጣሚ በግንባታ ምዝግብ ማስታወሻዎች ላይ በGitHub Actions ወይም ተመሳሳይ መድረኮች ላይ በአደባባይ በሚታዩ ስተጋጋቢ ናቸው።
- የሶስተኛ ወገን አገልግሎት መስፋፋት፡ ገንቢዎች የእነዚያን የመሣሪያ ስርዓቶች የደህንነት አቀማመጦች ሳይገመገሙ ቁልፎችን ወደ የትንታኔ ዳሽቦርዶች፣ ኮድ አልባ መሳሪያዎች ወይም የውህደት መድረኮች ላይ ይለጥፋሉ።
- የቡድን ግንኙነት ቻናሎች፡ በ Slack፣ Discord ወይም ኢሜይል ላይ የተጋሩ ቁልፎች መጨረሻው ከተዘዋዋሪ መርሐ ግብሩ በላይ በሚያልፉ የመልእክት ታሪኮች ውስጥ ነው።
የተለመደው ክር ቸልተኝነት አይደለም - አውድ መፍረስ ነው። በአንድ አውድ ውስጥ ደህንነታቸው የተጠበቀ የሆኑ ባህሪያት (የጎግል ካርታዎች ልማት) በሌላ (የጌሚኒ ልማት) አደገኛ ናቸው፣ እና የምስክር ወረቀቱ ምስላዊ ተመሳሳይነት ልዩነቱን በቀላሉ እንዲያጣ ያደርገዋል።
ሚስጥሮች አስተዳደር ባህል መገንባት ሚዛን
የጌሚኒ ሁኔታ ብዙ የልማት ቡድኖች ለሌላ ጊዜ ላስተላለፉት ነገር ጠቃሚ የማስገደድ ተግባር ነው፡ ከማስታወቂያ-ሆክ አቀራረቦች ይልቅ ትክክለኛ ሚስጥሮችን ማስተዳደር መሠረተ ልማት መገንባት። ለትናንሽ ቡድኖች፣ ይህ ልክ እንደ ኢንጂነሪንግ ሊሰማቸው ይችላል፣ ነገር ግን የማረጋገጫ መጋለጥ ዋጋ - የሂሳብ አከፋፈል ማጭበርበር፣ መለያ መታገድ፣ የውሂብ ጥሰት ማሳወቂያዎች - ይህን በትክክል ለመስራት ከሚደረገው ጥረት በእጅጉ ይበልጣል።የዘመናዊ ሚስጥሮች አስተዳደር ደረጃውን የጠበቀ አካሄድ ይከተላል። በመሠረተ ልማት ደረጃ፣ እንደ HashiCorp Vault፣ AWS Secrets Manager፣ ወይም Google Secret Manager ያሉ መሳሪያዎች ማእከላዊ፣ ኦዲት ሊደረግ የሚችል የመረጃ ማከማቻ በራስ ሰር የማሽከርከር ችሎታዎች ያቀርባሉ። እነዚህ ለትልቅ ኢንተርፕራይዞች ብቻ አይደሉም - እንደ ዶፕለር እና ኢንፊሲካል ያሉ አገልግሎቶች በተደራሽ የዋጋ ነጥቦች ለሁለት ወይም ለሦስት ገንቢዎች ቡድን ተመሳሳይ ንድፎችን ያመጣሉ.
💡 DID YOU KNOW?
Mewayz replaces 8+ business tools in one platform
CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.
Start Free →በኮድ ደረጃ፣ ተግሣጹ ቀላል ነው፡ ምስክርነቶች የምንጭ ኮድን ፈጽሞ አይነኩም። ሙሉ ማቆሚያ። አስተያየት በተሰጡ መስመሮች ውስጥ አይደለም፣ በምሳሌ ፋይሎች ውስጥ አይደለም፣ በሙከራ ዕቃዎች ውስጥ የውሸት የሚመስሉ እሴቶች ውስጥ አይደሉም። እንደ ሚስጥራቶች ፈልግ ወይም gitleaks ያሉ የሩቅ ማከማቻዎች ላይ ከመድረሳቸው በፊት የማሄድ መንጠቆዎችን አስቀድመው ያከናውኑ። እነዚህ መንጠቆዎች ለማዋቀር ደቂቃዎችን ይወስዳሉ እና ከአደጋ ምላሽዎ ጭንቀት አመታት ይርቃሉ።
የተወሳሰቡ የክወና ክምችቶችን ለሚያሄዱ ድርጅቶች - ሁሉንም ነገር ከ CRM የስራ ፍሰቶች እስከ የደመወዝ ውህደቶችን እስከ ደንበኛ ተኮር የቦታ ማስያዣ ስርዓቶች ድረስ ማስተዳደር - የተማከለ የማረጋገጫ አስተዳደር የበለጠ ወሳኝ ይሆናል። እንደMewayz ያሉ ፕላትፎርሞች፣ 207 የንግድ ሞጁሎችን በአንድ ኦፕሬሽን ጃንጥላ የሚያዋህዱት በዚህ መርህ የተገነቡ ናቸው፡ ምስክርነቶች እና የኤፒአይ ውህደቶች የሚተዳደሩት በመድረክ ደረጃ እንጂ በግለሰብ ሞጁሎች ወይም በግለሰብ ገንቢዎች አካባቢ አይደለም። ቁልፉ መዞር ሲያስፈልግ አንድ ጊዜ የሚሆነው በአንድ ቦታ እንጂ በአስራ ሰባት የመዋሃድ ነጥቦች ላይ አይደለም።
የሂሳብ አከፋፈል ጥቃት ቬክተር፡ የዛቻ ሞዴል ገንቢዎች ግምት ውስጥ አይገቡም
የደህንነት ውይይቶች ብዙ ጊዜ በመረጃ መጣስ እና ያልተፈቀደ መዳረሻ ላይ ያተኩራሉ። የጌሚኒ ተጋላጭነት ችግር እኩል ትኩረት ሊሰጠው የሚገባ ሶስተኛውን አስጊ ሞዴል ይጨምራል፡ በሂሳብ አከፋፈል ማጭበርበር።
ትልቅ የቋንቋ ሞዴል ምርጫ ውድ ነው። GPT-4 እና Gemini Ultra የሂደት ማስመሰያዎች እያንዳንዳቸው በመቶ ክፍልፋዮች፣ ነገር ግን በመጠን - በሺዎች የሚቆጠሩ ጥያቄዎች፣ በሚሊዮኖች የሚቆጠሩ ቶከኖች - እነዚያ ክፍልፋዮች በፍጥነት በሺዎች የሚቆጠሩ ዶላሮችን ይጨምራሉ። የተጋለጡ AI API ቁልፎችን ያገኙ አጥቂዎች የእርስዎን ውሂብ የግድ አይፈልጉም። ነፃ ስሌት ይፈልጋሉ። የእራሳቸውን AI አገልግሎቶች ለማስኬድ፣የግምገማ አቅምን እንደገና ለመሸጥ ወይም መተግበሪያዎቻቸውን ጭንቀትን ለመፈተሽ ምስክርነቶችዎን ይጠቀማሉ - ሂሳቡ ወደ እርስዎ በሚሄድበት ጊዜ ሁሉ።
አንድ ገንቢ ከአንድ የጌሚኒ ቁልፍ እስከ 23,000 ዶላር ሂሳብ ሲቀሰቅስ ከስድስት ሰአት ላላነሰ ጊዜ በህዝብ ማከማቻ ውስጥ ተጋልጧል። አጥቂው ብዝበዛውን አውቶማቲክ አድርጎ ነበር፣የጎግል ማጭበርበር ፈልጎ እስኪያገኝ ድረስ ያለማቋረጥ ከፍተኛ የማመንጨት ስራዎችን እየሰራ ነበር። ገንቢው ከረዥም የክርክር ሂደት በኋላ ክሱ እንዲቀለበስ አድርጓል፣ ነገር ግን መለያው በዚያ ጊዜ ውስጥ የምርት አገልግሎቶችን በማውረድ ታግዷል።
ለዚህ ነው የሂሳብ አከፋፈል ማንቂያዎች እና የኮታ ገደቦች ለትክክለኛ ሚስጥሮች አስተዳደር ምትክ ያልሆኑት - እነሱ በጭራሽ አያስፈልጉዎትም ብለው የሚያምኑት የመጨረሻ የመከላከያ መስመር ናቸው። በ AI ኤፒአይ መለያዎች ላይ ከባድ ወርሃዊ ወጪ ገደቦችን ማቀናበር አሁን የሠንጠረዥ ድርሻ ነው፣ ነገር ግን ትክክለኛው ጥበቃ እነዚያ ምስክርነቶች በመጀመሪያ ደረጃ በጭራሽ እንደማይጥሉ ያረጋግጣል።ሽግግሩን ለሚያደርጉ ቡድኖች ተግባራዊ እርምጃዎች
ቡድንዎ በአሮጌው የአዕምሮ ሞዴል የGoogle API ውህደቶችን እየገነባ ከነበረ እና አሁን ጀሚኒን ወደ ቁልል ውስጥ እየጨመረ ከሆነ፣ እውነተኛው የማስተካከያ ዝርዝር ይኸውና፡
- ነባር ማከማቻዎችን ወዲያውኑ ኦዲት ያድርጉ።truffleHog ወይምgitleaksን አሁን ካለው HEAD ብቻ ሳይሆን ከሙሉ git ታሪክዎ ጋር ያሂዱ። በተለይ ከዚህ ቀደም የGoogle API ቁልፍ ጥቅም ላይ ለዋለ በማንኛውም ማከማቻ ላይ አተኩር።
- ሁሉንም የተጋለጠ ቁልፎች አሽከርክር። ይሽሩት እና አዲስ ይፍጠሩ። ማንም ሰው "በእርግጥ" እንዳገኘው ለመገምገም አትሞክር።
- ቅድመ-መቃኘትን ይተግብሩ።
- ቁልፍ ክምችት ያቋቁሙ። የተመን ሉህ ጥሩ መነሻ ነው; ሚስጥሮች አስተዳዳሪ መድረሻው ነው።
- የሂሳብ አከፋፈል ማንቂያዎችን እና ጠንካራ ገደቦችን ያቀናብሩ።
- አዲሱን የአይምሮ ሞዴል በግልፅ ይመዝግቡ።የጌሚኒ ኤፒአይ ቁልፎች ከፍተኛ ትብነት ያላቸው ምስክርነቶች ከክፍያ ፕሮሰሰር ሚስጥሮች ጋር አንድ አይነት ህክምና የሚያስፈልጋቸው መሆናቸውን በግልፅ ለመግለፅ የቡድንህን መሳፈሪያ ቁሳቁሶች እና የምህንድስና መጽሃፍ አዘምን።
ለመድረክ-ጥገኛ ንግዶች ሰፋ ያለ ትምህርት
የጌሚኒ ሁኔታ ከሶስተኛ ወገን መድረኮች ጋር በጥልቀት የተዋሃደ ማንኛውንም ንግድ የሚነካ ስርዓተ-ጥለት ያሳያል፡ መድረኮቹ ይሻሻላሉ፣ እና የደህንነት አቋም መስፈርቶች ከነሱ ጋር ይሻሻላሉ፣ ነገር ግን እነዚያን መድረኮች የሚጠቀሙ ቡድኖች ተቋማዊ ልማዶች ብዙ ጊዜ አይራመዱም። ትናንት አስተማማኝ የነበረው ዛሬ አደገኛ ነው፣ እና በሁለቱ ክልሎች መካከል ያለው ልዩነት ጥሰቶች የሚከሰቱበት ነው።ይህ በተለይ ውስብስብ የሥራ ማስኬጃ ቁልል ለሚያስኬዱ ንግዶች በጣም ከባድ ነው። በኤአይ የተጎለበተ ባህሪያትን በደንበኞች አገልግሎት፣ ትንታኔዎች፣ የይዘት ማመንጨት እና የምርት ምክሮችን የሚጠቀም ኩባንያ በአስራ ሁለት የተለያዩ አውዶች ውስጥ የጌሚኒ ውህደቶች ሊኖሩት ይችላል - ምስክርነቶች ወጥነት በሌለው መልኩ ከተያዙ እያንዳንዳቸው የመጋለጫ ነጥብ ሊኖራቸው ይችላል። መፍትሔው የተሻሉ የግለሰብ ገንቢ ልማዶች ብቻ አይደለም; አርክቴክቸር ነው። የምስክርነት ተደራሽነት ማእከላዊ፣ ኦዲት እና በመድረክ ደረጃ መመራት አለበት።
ዘመናዊ የንግድ ኦፕሬቲንግ ሲስተሞች ይህን ታሳቢ በማድረግ እየተነደፉ ነው። መቼMewayzየ AI ችሎታዎችን በሱቁ ውስጥ ሲያዋህድ - ከማሰብ ችሎታ ካለው CRM የስራ ፍሰቶች ወደ አውቶሜትድ ትንተና በ207-ሞዱል ስነ-ምህዳሩ ውስጥ - የማረጋገጫ አስተዳደር የሚከናወነው በመሠረተ ልማት ንብርብር እንጂ በመተግበሪያው ንብርብር አይደለም። የግለሰብ ሞጁል ገንቢዎች ጥሬ የኤፒአይ ቁልፎችን አይያዙም። የማሽከርከር ፖሊሲዎችን የሚያስፈጽም፣ የኦዲት መዳረሻን እና የሆነ ችግር ከተፈጠረ የፍንዳታ ራዲየስን በሚገድቡ የአብስትራክሽን ንብርብሮች አማካኝነት ችሎታዎችን ያገኛሉ። ይህ የጌሚኒ ዘመን የሚጠይቀው አርክቴክቸር ነው፡ የተሻሉ ልማዶች ብቻ ሳይሆን ትክክለኛውን ልማድ ብቸኛው አማራጭ የሚያደርጉ የተሻሉ ስርዓቶች ናቸው።
Google ለካርታዎች እና ዩቲዩብ የተፈቀደ የኤፒአይ ቁልፍ ሞዴል በመገንባት ላይ ስህተት አልሰራም። ያ ሞዴል ለእነዚያ አገልግሎቶች ተስማሚ ነበር። ነገር ግን የኤ.ፒ.አይ.ዎች አቅም እና የዋጋ መገለጫዎች በአስደናቂ ሁኔታ እየተሻሻሉ ሲሄዱ - እና AI APIs ምናልባት በዚያ ዝግመተ ለውጥ ውስጥ በጣም ጥሩውን የመቀየሪያ ነጥብ እንደሚወክሉ - መላው ኢንዱስትሪ ነባሪዎችን እንደገና ማስጀመር አለበት። በዚህ አካባቢ የበለጸጉ ገንቢዎች የድሮውን ህጎች በደንብ የተማሩ ሳይሆን ህጎቹ በመሠረቱ ሲቀየሩ የሚያውቁ ይሆናሉ።
ብዙ ጊዜ የሚጠየቁ ጥያቄዎች
ለምንድነው የጉግል ኤፒአይ ቁልፎች በይፋ ለመጋለጥ አስተማማኝ ተብለው በታሪክ የተቆጠሩት?
Google የነደፈው ብዙዎቹ ኤፒአይዎቹን - ካርታዎች፣ ዩቲዩብ፣ ቦታዎች - ለደንበኛ-ጎን ጥቅም ነው፣ ይህ ማለት ቁልፎች ሆን ተብሎ ለማንም በሚታይ የፊት-መጨረሻ ኮድ ውስጥ ተጭነዋል። የደህንነት ሞዴል ከቁልፍ ሚስጥራዊነት ይልቅ እንደ የጎራ ፍቃድ ዝርዝሮች እና የማጣቀሻ ፍተሻዎች ባሉ የአጠቃቀም ገደቦች ላይ የተመሰረተ ነው። ለዓመታት፣ የተጋለጠ ቁልፍ እንደ የውቅር ጉዳይ ተደርጎ ይወሰድ ነበር እንጂ አፋጣኝ መዞር የሚያስፈልገው ወሳኝ ተጋላጭነት አይደለም።
Google Gemini API ቁልፎችን ሲያስተዋውቅ ምን ተለወጠ?
ከሌጋሲ ጎግል ኤፒአይዎች በተለየ የጌሚኒ ኤፒአይ ቁልፎች እንደ ተለምዷዊ ሚስጥሮች ይሰራሉ - አንዱን ማጋለጥ እርስዎን ለማዳን አብሮ የተሰራ የጎራ ገደብ በሌለበት የሂሳብ መጠየቂያ መለያዎ ላይ ያልተፈቀዱ ክፍያዎችን፣ የሞዴል አላግባብ መጠቀምን ወይም የኮታ ድካምን ያስከትላል። ፈረቃው ማለት ገንቢዎች አሁን የጌሚኒ ቁልፎችን ልክ እንደ AWS ምስክርነቶች ወይም ስትሪፕ ሚስጥራዊ ቁልፎች፣ ከአገልጋይ ወገን እና ከደንበኛ ጋር በሚያይ ኮድ ውስጥ ማከማቸት አለባቸው።
ገንቢዎች ዛሬ የኤፒአይ ቁልፎችን እንዴት በአስተማማኝ ሁኔታ ማስተዳደር አለባቸው?
በጣም ጥሩው አሰራር ሁሉንም የ AI ኤፒአይ ቁልፎች እንደ አካባቢ ተለዋዋጮች በአገልጋዩ ላይ ማከማቸት እንጂ በስሪት ቁጥጥር ስር ባሉ ፋይሎች ወይም የደንበኛ ቅርቅቦች ውስጥ በጭራሽ። የምስጢር አስተዳዳሪን ተጠቀም፣ ቁልፎችን በመደበኛነት አሽከርክር እና በአቅራቢው ደረጃ የወጪ ገደቦችን አዘጋጅ። እንደ Mewayz ያሉ መድረኮች — 207-ሞዱል የንግድ ስርዓተ ክወና በ$19/ወር app.mewayz.com ላይ ይገኛል — በመሰረተ ልማታቸው ውስጥ የኤፒአይ ምስክርነት አስተዳደርን ስለሚያስተናግዱ ቡድኖቹ በአገልግሎታቸው ላይ ቁልፎችን በእጅ እንዳይሰበስቡ።በስህተት የጌሚኒ ኤፒአይ ቁልፍ ካጋለጥኩኝ ምን ማድረግ አለብኝ?
የተበላሸውን ቁልፍ ወዲያውኑ በGoogle ክላውድ ኮንሶል ይሻሩት እና ሌላ ማንኛውንም ነገር ከማድረግዎ በፊት ምትክ ያመነጩ። ቁልፉ መሰብሰቡን ሊጠቁሙ የሚችሉ ያልተጠበቁ የአጠቃቀም ስፒሎች ለማግኘት የክፍያ መጠየቂያ ዳሽቦርድዎን ኦዲት ያድርጉ። ከዚያ የእርስዎን ኮድ ቤዝ፣ የሲአይ/ሲዲ አካባቢ ተለዋዋጮች እና ማናቸውንም የህዝብ ማከማቻዎች ለሌሎች የወጡ ምስክርነቶች ይገምግሙ። ክስተቱን እንደ ማንኛውም የተጋለጠ የክፍያ ምስክርነት ይያዙት - ተገኝቷል ብለው ያስቡ እና በዚህ መሰረት እርምጃ ይውሰዱ።
We use cookies to improve your experience and analyze site traffic. Cookie Policy