ລະຫັດ Google API ບໍ່ແມ່ນຄວາມລັບ, ແຕ່ຫຼັງຈາກນັ້ນ Gemini ໄດ້ປ່ຽນກົດລະບຽບ

ເມື່ອ "ສາທາລະນະໂດຍການອອກແບບ" ກາຍເປັນຄວາມຮັບຜິດຊອບດ້ານຄວາມປອດໄພ

ເປັນເວລາເກືອບສອງທົດສະວັດ, ຜູ້ພັດທະນາທີ່ສ້າງຂຶ້ນໃນລະບົບນິເວດຂອງ Google ໄດ້ຮຽນຮູ້ບົດຮຽນທີ່ລະອຽດອ່ອນແຕ່ສຳຄັນ: ລະຫັດ Google API ບໍ່ແມ່ນຄວາມລັບແທ້ໆ. ຖ້າທ່ານຝັງລະຫັດ API ຂໍ້ມູນ YouTube ໃນໄຟລ໌ JavaScript, Google ບໍ່ໄດ້ຕົກໃຈ. ຖ້າກະແຈ API Maps ຂອງທ່ານປາກົດຢູ່ໃນບ່ອນເກັບມ້ຽນ GitHub ສາທາລະນະ, ການຕອບໂຕ້ດ້ານຄວາມປອດໄພແມ່ນເປັນການຢັບຢັ້ງແລະເຕືອນເພື່ອກໍານົດຂໍ້ຈໍາກັດໂດເມນ. ຮູບແບບທັງໝົດຖືກສ້າງຂຶ້ນໂດຍສົມມຸດຕິຖານວ່າກະແຈເຫຼົ່ານີ້ຈະຢູ່ໃນລະຫັດຝ່າຍລູກຄ້າ, ເປີດເຜີຍຕໍ່ກັບທຸກຄົນທີ່ເປີດ DevTools.

ປັດຊະຍານັ້ນມີຄວາມໝາຍເປັນເວລາດົນນານ. ລະຫັດ API ແຜນທີ່ເປີດເຜີຍໂດຍບໍ່ມີການຈໍາກັດໂດເມນອາດຈະເຮັດໃຫ້ບັນຊີລາຍການແປກໃຈ, ແຕ່ມັນຈະບໍ່ທໍາລາຍບັນທຶກຂອງຄົນເຈັບຫຼືບັນຊີທະນາຄານ. ລັດສະໝີລະເບີດແມ່ນທາງດ້ານການເງິນ ແລະສາມາດຈັດການໄດ້. ເຄື່ອງມືຂອງ Google — ຂໍ້ຈຳກັດຜູ້ອ້າງອີງ, ບັນຊີຂາວ IP, ຂີດຈຳກັດໂຄຕ້າ — ຖືກອອກແບບມາເພື່ອບັນຈຸຄວາມເສຍຫາຍ, ບໍ່ປ້ອງກັນການເປີດເຜີຍທັງໝົດ.

ຫຼັງຈາກນັ້ນ Gemini ມາຮອດ, ແລະກົດລະບຽບໄດ້ປ່ຽນແປງ. ບັນຫາແມ່ນວ່າຜູ້ພັດທະນາຫຼາຍລ້ານຄົນບໍ່ໄດ້ຮັບບັນທຶກຊ່ວຍຈໍາ.

ຕົວແບບທາງຈິດທີ່ເປັນມໍລະດົກທີ່ກຳລັງເຮັດໃຫ້ຜູ້ພັດທະນາຖືກເຜົາໄໝ້

ປະສົບການນັກພັດທະນາ Google ເກົ່າແມ່ນໄດ້ຮັບການອະນຸຍາດໂດຍເຈດຕະນາ. ເມື່ອທ່ານສ້າງລະຫັດ API ຂອງ Maps JavaScript, ເອກະສານດັ່ງກ່າວໄດ້ຊຸກຍູ້ໃຫ້ທ່ານວາງມັນໂດຍກົງໃສ່ HTML ຂອງທ່ານ. ຮູບແບບຄວາມປອດໄພບໍ່ແມ່ນຄວາມລັບ — ມັນແມ່ນຂໍ້ຈຳກັດ. ເຈົ້າຕ້ອງລັອກກະແຈໃສ່ໂດເມນຂອງເຈົ້າ, ຕັ້ງການແຈ້ງເຕືອນໂຄຕ້າ, ແລະສືບຕໍ່ໄປ. ນີ້ແມ່ນວິສະວະກໍາທີ່ປະຕິບັດໄດ້: ແອັບພລິເຄຊັນຂ້າງລູກຄ້າບໍ່ສາມາດຮັກສາຄວາມລັບຈາກຜູ້ໃຊ້ທີ່ກໍານົດໄດ້ຢ່າງແທ້ຈິງ, ດັ່ງນັ້ນ Google ຈຶ່ງສ້າງລະບົບທີ່ຮັບຮູ້ຄວາມເປັນຈິງນັ້ນ.

ອັນນີ້ໄດ້ສ້າງກຸ່ມນັກພັດທະນາ — ແລະທີ່ສຳຄັນໄປກວ່ານັ້ນ, ການສ້າງນິໄສຂອງສະຖາບັນ — ບ່ອນທີ່ກະແຈ Google API ຄອບຄອງປະເພດຈິດໃຈທີ່ແຕກຕ່າງໄປກວ່າ, ເວົ້າວ່າ, ກະແຈລັບ Stripe ຫຼືຂໍ້ມູນການເຂົ້າສູ່ລະບົບຂອງ AWS. ທ່ານຈະບໍ່ວາງລະຫັດລັບ Stripe ຂອງທ່ານໃສ່ໃນບັນຊີສາທາລະນະ. ແຕ່ກະແຈແຜນທີ່ຂອງເຈົ້າບໍ? ນັ້ນແມ່ນຄ່າການຕັ້ງຄ່າ, ບໍ່ແມ່ນຄວາມລັບ. ຫຼາຍໆທີມໄດ້ເກັບຮັກສາພວກມັນໄວ້ໃນໄຟລ໌ config ປະເຊີນກັບສາທາລະນະ, ໄຟລ໌ README, ເຖິງແມ່ນວ່າຢູ່ໃນຕົວແປສະພາບແວດລ້ອມຝ່າຍລູກຄ້າທີ່ນໍາຫນ້າດ້ວຍ NEXT_PUBLIC_ ຫຼື REACT_APP_ ໂດຍບໍ່ມີການຄິດທີສອງ.

ນັກຄົ້ນຄວ້າຄວາມປອດໄພສະແກນ GitHub ສໍາລັບຂໍ້ມູນປະຈໍາຕົວທີ່ເປີດເຜີຍໄດ້ຮຽນຮູ້ທີ່ຈະປະຕິບັດກັບລະຫັດ Google API ທີ່ແຕກຕ່າງກັນຄືກັນ. ລະຫັດແຜນທີ່ທີ່ຮົ່ວໄຫຼແມ່ນການຊອກຫາຄວາມຮ້າຍແຮງຕໍ່າ. ກະແຈ Gemini ຮົ່ວແມ່ນການສົນທະນາທີ່ແຕກຕ່າງກັນຫມົດ.

ສິ່ງທີ່ປ່ຽນແປງກັບ Gemini — ແລະເປັນຫຍັງມັນຈຶ່ງສຳຄັນ

Gemini API ຂອງ Google ບໍ່ປະຕິບັດຕາມ playbook ເກົ່າ. ເມື່ອທ່ານສ້າງລະຫັດ Gemini API ຜ່ານ Google AI Studio, ທ່ານກໍາລັງສ້າງຂໍ້ມູນປະຈໍາຕົວທີ່ມີໂປຣໄຟລ໌ຄວາມສ່ຽງທີ່ແຕກຕ່າງກັນໂດຍພື້ນຖານກ່ວາລະຫັດແຜນທີ່ຫຼື YouTube. ກະແຈ Gemini ພິສູດສິດການເຂົ້າເຖິງການອະນຸພັນແບບຈໍາລອງພາສາຂະຫນາດໃຫຍ່ — ການບໍລິການທີ່ມີມູນຄ່າຊັບພະຍາກອນການຄິດໄລ່ທີ່ແທ້ຈິງຂອງ Google ແລະທີ່ສົ່ງເງິນໃຫ້ທ່ານໂດຍ token, ບໍ່ແມ່ນການເບິ່ງຫນ້າ.

ສຳຄັນກວ່ານັ້ນ, ກະແຈ Gemini API ບໍ່ມີກົນໄກການຈຳກັດໂດເມນໃນຕົວດຽວກັນທີ່ເຮັດໃຫ້ການເປີດເຜີຍກະແຈ Google ອື່ນໆສາມາດຢູ່ລອດໄດ້. ບໍ່ມີການຄວບຄຸມ "ລັອກນີ້ໃສ່ໂດເມນຂອງເວັບໄຊທ໌ຂອງຂ້ອຍ" ງ່າຍໆທີ່ຈະປ້ອງກັນບໍ່ໃຫ້ຜູ້ໂຈມຕີທີ່ພົບເຫັນກະແຈຂອງເຈົ້າຢູ່ໃນບ່ອນເກັບມ້ຽນສາທາລະນະຈາກການໝູນໃຊ້ແອັບພລິເຄຊັນຂອງຕົນເອງ ແລະໃຊ້ໂຄຕ້າຂອງເຈົ້າ - ຫຼືຂີດຈຳກັດການຮຽກເກັບເງິນຂອງເຈົ້າ - ຈາກເຊີບເວີໃນປະເທດອື່ນ.

ອັນຕະລາຍບໍ່ແມ່ນພຽງແຕ່ທາງດ້ານການເງິນເທົ່ານັ້ນ. ກະແຈ Gemini ທີ່ຖືກເປີດເຜີຍສາມາດຖືກນໍາໃຊ້ເພື່ອສ້າງເນື້ອຫາທີ່ເປັນອັນຕະລາຍ, ດໍາເນີນການສັກຢາທັນທີ, ຫຼືສ້າງເຄື່ອງມືທີ່ລະເມີດເງື່ອນໄຂການໃຫ້ບໍລິການຂອງ Google — ທັງຫມົດຖືກເອີ້ນເກັບເງິນເຂົ້າບັນຊີຂອງທ່ານແລະສາມາດຕິດຕາມໄດ້ກັບຕົວຕົນຂອງທ່ານ.

ໃນປີ 2024, ນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພໄດ້ກວດພົບກະແຈ Gemini API ທີ່ຖືກເປີດເຜີຍຫຼາຍພັນອັນຢູ່ໃນ GitHub ດຽວ, ຈໍານວນຫຼາຍຂອງພວກມັນຢູ່ໃນບ່ອນເກັບມ້ຽນທີ່ເຄີຍເປັນເຈົ້າພາບຄີ Google API ອື່ນໆໂດຍບໍ່ໄດ້ເກີດຂຶ້ນ. ນັກພັດທະນາບໍ່ໄດ້ບໍ່ສົນໃຈກັບມາດຕະຖານທາງປະຫວັດສາດຂອງຕົນເອງ - ພວກເຂົາກໍາລັງໃຊ້ຕົວແບບທາງດ້ານຈິດໃຈທີ່ Google ເອງໄດ້ຝຶກອົບຮົມໃຫ້ພວກເຂົາໃຊ້. ສະພາບແວດລ້ອມໄດ້ປ່ຽນແປງໄວກວ່ານິໄສ.

ວິພາກວິພາກຂອງການເກີດອຸບັດຕິເຫດ

ການເຂົ້າໃຈວິທີການເປີດເຜີຍເຫຼົ່ານີ້ເກີດຂຶ້ນເປັນຂັ້ນຕອນທໍາອິດເພື່ອປ້ອງກັນພວກມັນ. ຮູບ​ແບບ​ຄວາມ​ລົ້ມ​ເຫຼວ​ແມ່ນ​ມີ​ຄວາມ​ສອດ​ຄ່ອງ​ກັບ​ທີມ​ງານ​ທຸກ​ຂະ​ຫນາດ​:

• ການຈັດປະເພດທີ່ບໍ່ຖືກຕ້ອງຂອງສະພາບແວດລ້ອມ: ຜູ້ພັດທະນາເຄີຍໃຊ້ກັບປຸ່ມ Google Maps ຄໍານໍາຫນ້າກະແຈ Gemini ດ້ວຍ NEXT_PUBLIC_ ຫຼື VITE_, ເປີດເຜີຍພວກມັນທັນທີໃນລະຫັດດ້ານລູກຄ້າທີ່ມັດໄວ້.
• ການປົນເປື້ອນຂອງປະຫວັດການເກັບຂໍ້ມູນ: ລະຫັດຖືກເພີ່ມໃສ່ໄຟລ໌ config, ຫມັ້ນສັນຍາ, ຫຼັງຈາກນັ້ນເອົາອອກ — ແຕ່ປະຫວັດ git ຍັງຄົງສາມາດຄົ້ນຫາໄດ້ຢ່າງບໍ່ມີກໍານົດ. ຜູ້ໂຈມຕີໃຊ້ເຄື່ອງມືເຊັ່ນ truffleHog ແລະ gitleaks ໂດຍສະເພາະເພື່ອຂຸດຄົ້ນປະຫວັດນີ້.
• ໂນ໊ດບຸ໊ກ ແລະເຄື່ອງຕົ້ນແບບຮົ່ວໄຫຼ: ນັກວິທະຍາສາດຂໍ້ມູນຕົ້ນແບບການເຊື່ອມໂຍງກັບ Gemini ໃນໂນ໊ດບຸ໊ກ Jupyter ຍູ້ໂນ໊ດບຸ໊ກເຫຼົ່ານັ້ນໄປຫາ GitHub ດ້ວຍກະແຈທີ່ຝັງຢູ່ໃນຜົນລັບຂອງເຊວ.
• ການກຳນົດຄ່າ CI/CD ຜິດ: ກະແຈທີ່ເກັບໄວ້ເປັນຄວາມລັບຂອງບ່ອນເກັບມ້ຽນແມ່ນເກີດສຽງສະທ້ອນໂດຍບັງເອີນໃນບັນທຶກການສ້າງທີ່ເຫັນໄດ້ໂດຍສາທາລະນະໃນ GitHub Actions ຫຼືເວທີທີ່ຄ້າຍຄືກັນ.
• ການຂະຫຍາຍບໍລິການພາກສ່ວນທີສາມ: ຜູ້ພັດທະນາວາງກະແຈໃສ່ແຜງໜ້າປັດການວິເຄາະ, ເຄື່ອງມືທີ່ບໍ່ມີລະຫັດ, ຫຼືແພລດຟອມການລວມເຂົ້າກັນໂດຍບໍ່ໄດ້ກວດເບິ່ງທ່າທາງຄວາມປອດໄພຂອງແພລດຟອມເຫຼົ່ານັ້ນ.
• ຊ່ອງທາງການສື່ສານຂອງທີມ: ກະແຈທີ່ແບ່ງປັນຜ່ານ Slack, Discord, ຫຼືອີເມລ໌ຈົບລົງໃນປະຫວັດຂໍ້ຄວາມທີ່ຊອກຫາໄດ້ທີ່ເກີນກວ່າຕາຕະລາງການຫມຸນ.

ກະທູ້ທົ່ວໄປບໍ່ແມ່ນການລະເລີຍ — ມັນເປັນການລົ້ມລົງຂອງບໍລິບົດ. ພຶດຕິກຳທີ່ປອດໄພໃນບໍລິບົດໜຶ່ງ (ການພັດທະນາ Google Maps) ແມ່ນອັນຕະລາຍໃນອີກອັນໜຶ່ງ (ການພັດທະນາ Gemini), ແລະຄວາມຄ້າຍຄືກັນທາງສາຍຕາຂອງຂໍ້ມູນປະຈຳຕົວເຮັດໃຫ້ຄວາມແຕກຕ່າງທີ່ຜິດພາດໄດ້ງ່າຍ.

ການ​ສ້າງ​ວັດ​ທະ​ນະ​ທໍາ​ການ​ຄຸ້ມ​ຄອງ​ຄວາມ​ລັບ​ທີ່​ຂະ​ຫຍາຍ​ຕົວ

ສະຖານະການ Gemini ແມ່ນຫນ້າທີ່ບັງຄັບທີ່ເປັນປະໂຫຍດສໍາລັບບາງສິ່ງບາງຢ່າງທີ່ທີມງານພັດທະນາຈໍານວນຫຼາຍໄດ້ເລື່ອນເວລາ: ການສ້າງໂຄງສ້າງພື້ນຖານການຄຸ້ມຄອງຄວາມລັບຕົວຈິງແທນທີ່ຈະເປັນວິທີການສະເພາະ. ສໍາລັບທີມງານຂະຫນາດນ້ອຍ, ນີ້ອາດຈະມີຄວາມຮູ້ສຶກຄືກັບວິສະວະກໍາຫຼາຍເກີນໄປ, ແຕ່ຄ່າໃຊ້ຈ່າຍຂອງການເປີດເຜີຍຂໍ້ມູນປະຈໍາຕົວ - ການສໍ້ໂກງການເອີ້ນເກັບເງິນ, ການລະງັບບັນຊີ, ການແຈ້ງເຕືອນການລະເມີດຂໍ້ມູນ - ຢ່າງຫຼວງຫຼາຍເກີນຄວາມພະຍາຍາມຂອງການປະຕິບັດທີ່ຖືກຕ້ອງ.

ການ​ຄຸ້ມ​ຄອງ​ຄວາມ​ລັບ​ທີ່​ທັນ​ສະ​ໄຫມ​ເຮັດ​ຕາມ​ວິ​ທີ​ການ​ຂັ້ນ​ຕອນ. ໃນລະດັບພື້ນຖານໂຄງລ່າງ, ເຄື່ອງມືເຊັ່ນ: HashiCorp Vault, AWS Secrets Manager, ຫຼື Google Secret Manager ສະຫນອງການເກັບຮັກສາຂໍ້ມູນປະຈໍາສູນກາງ, ສາມາດກວດສອບໄດ້ດ້ວຍຄວາມສາມາດໃນການຫມຸນອັດຕະໂນມັດ. ເຫຼົ່ານີ້ແມ່ນບໍ່ພຽງແຕ່ສໍາລັບວິສາຫະກິດຂະຫນາດໃຫຍ່ເທົ່ານັ້ນ - ການບໍລິການເຊັ່ນ Doppler ແລະ Infisical ເອົາຮູບແບບດຽວກັນກັບທີມງານຂອງສອງຫຼືສາມຜູ້ພັດທະນາໃນລາຄາທີ່ສາມາດເຂົ້າເຖິງໄດ້.

ໃນລະດັບລະຫັດ, ລະບຽບວິໄນແມ່ນງ່າຍດາຍກວ່າ: ຂໍ້ມູນປະຈໍາຕົວບໍ່ເຄີຍແຕະຕ້ອງລະຫັດແຫຼ່ງ. ຢຸດເຕັມ. ບໍ່ໄດ້ຢູ່ໃນເສັ້ນສະແດງຄວາມຄິດເຫັນ, ບໍ່ແມ່ນຢູ່ໃນໄຟລ໌ຕົວຢ່າງ, ບໍ່ແມ່ນຢູ່ໃນການທົດສອບທີ່ມີຄ່າທີ່ມີລັກສະນະປອມແປງທີ່ກາຍເປັນຈິງ. Pre-commit hooks ແລ່ນເຄື່ອງມືເຊັ່ນ detect-secrets ຫຼື gitleaks ຈັບການລະເມີດກ່ອນທີ່ມັນຈະໄປເຖິງ repositories ຫ່າງໄກສອກຫຼີກ. hooks ເຫຼົ່າ​ນີ້​ໃຊ້​ເວ​ລາ​ນາ​ທີ​ໃນ​ການ​ຕັ້ງ​ຄ່າ​ແລະ​ປີ​ຈາກ​ຄວາມ​ກັງ​ວົນ​ຕອບ​ສະ​ຫນອງ​ເຫດ​ການ​ຂອງ​ທ່ານ​.

ສຳລັບອົງການຈັດຕັ້ງທີ່ເຮັດວຽກເປັນ stack ການດໍາເນີນງານທີ່ຊັບຊ້ອນ — ການຈັດການທຸກຢ່າງຈາກຂັ້ນຕອນການເຮັດວຽກ CRM ກັບການລວມເອົາເງິນເດືອນກັບລະບົບການຈອງທີ່ລູກຄ້າປະເຊີນ — ການຈັດການຂໍ້ມູນປະຈໍາຕົວແບບລວມສູນກາຍເປັນເລື່ອງສໍາຄັນຫຼາຍຂຶ້ນ. ແພລດຟອມເຊັ່ນ Mewayz, ເຊິ່ງລວມ 207 ໂມດູນທຸລະກິດພາຍໃຕ້ການດໍາເນີນງານດຽວ, ຖືກສ້າງຂຶ້ນດ້ວຍຫຼັກການນີ້ຢູ່ໃນຫຼັກຂອງພວກມັນ: ຂໍ້ມູນປະຈໍາຕົວ ແລະການເຊື່ອມໂຍງ API ແມ່ນຈັດການຢູ່ໃນລະດັບແພລດຟອມ, ບໍ່ໄດ້ກະແຈກກະຈາຍໄປທົ່ວແຕ່ລະໂມດູນ ຫຼືສະພາບແວດລ້ອມຂອງນັກພັດທະນາແຕ່ລະຄົນ. ເມື່ອຕ້ອງໝຸນກະແຈ, ມັນຈະເກີດຂຶ້ນຄັ້ງດຽວ, ຢູ່ບ່ອນດຽວ, ບໍ່ແມ່ນຢູ່ທົ່ວສິບເຈັດຈຸດເຊື່ອມໂຍງທີ່ແຕກຕ່າງກັນ.

ຕົວ​ແບບ​ການ​ໂຈມ​ຕີ​ການ​ເກັບ​ເງິນ: ຕົວ​ແບບ​ການ​ຂົ່ມ​ຂູ່​ທີ່​ຜູ້​ພັດ​ທະ​ນາ​ຄາດ​ຄະ​ເນ​ຕ່ຳ

ການສົນທະນາດ້ານຄວາມປອດໄພມັກຈະເນັ້ນໃສ່ການລະເມີດຂໍ້ມູນ ແລະການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ. ບັນຫາ Gemini exposure ເພີ່ມຮູບແບບໄພຂົ່ມຂູ່ທີສາມທີ່ສົມຄວນໄດ້ຮັບຄວາມສົນໃຈເທົ່າທຽມກັນ: ການສໍ້ໂກງໃບບິນໃນຂອບເຂດ.

ຕົວ​ແບບ​ພາ​ສາ​ທີ່​ໃຫຍ່​ຫຼວງ​ inference ມີ​ລາ​ຄາ​ແພງ​. GPT-4 ແລະ Gemini Ultra tokens ຂະບວນການໃນແຕ່ສ່ວນຫນຶ່ງຂອງເປີເຊັນຂອງແຕ່ລະຄົນ, ແຕ່ໃນລະດັບ - ຫຼາຍພັນຄໍາຮ້ອງຂໍ, ລ້ານຂອງ tokens - ແຕ່ສ່ວນຫນຶ່ງເຫຼົ່ານັ້ນເພີ່ມຂຶ້ນຫຼາຍພັນໂດລາຢ່າງໄວວາ. ຜູ້ໂຈມຕີທີ່ຄົ້ນພົບກະແຈ AI API ທີ່ຖືກເປີດເຜີຍບໍ່ຈໍາເປັນຕ້ອງການຂໍ້ມູນຂອງທ່ານ. ພວກເຂົາຕ້ອງການຄອມພິວເຕີ້ຟຣີ. ເຂົາເຈົ້າຈະໃຊ້ຂໍ້ມູນປະຈໍາຕົວຂອງທ່ານເພື່ອດໍາເນີນການບໍລິການ AI ຂອງເຂົາເຈົ້າເອງ, ຂາຍຕໍ່ຄວາມສາມາດ inference, ຫຼື ທົດສອບຄວາມກົດດັນຕໍ່ຄໍາຮ້ອງສະຫມັກຂອງເຂົາເຈົ້າ — ທັງຫມົດໃນຂະນະທີ່ໃບບິນໄປໃຫ້ທ່ານ.

ຜູ້​ພັດ​ທະ​ນາ​ຄົນ​ໜຶ່ງ​ບັນ​ທຶກ​ການ​ປຸກ​ໃບ​ບິນ​ເຖິງ $23,000 ຈາກ​ກະ​ແຈ Gemini ທີ່​ເປີດ​ເຜີຍ​ຢູ່​ໃນ​ບ່ອນ​ເກັບ​ມ້ຽນ​ສາ​ທາ​ລະ​ນະ​ເປັນ​ເວ​ລາ​ໜ້ອຍ​ກວ່າ 6 ຊົ່ວ​ໂມງ. ຜູ້ໂຈມຕີໄດ້ທຳການຂູດຮີດໂດຍອັດຕະໂນມັດໃນທັນທີ, ເຮັດວຽກງານການຜະລິດຜ່ານຄວາມໄວສູງຢ່າງຕໍ່ເນື່ອງຈົນກວ່າຈະມີການກວດສອບການສໍ້ໂກງຂອງ Google. ໃນທີ່ສຸດຜູ້ພັດທະນາໄດ້ຮັບການຮຽກເກັບຄ່າບໍລິການຄືນຫຼັງຈາກຂະບວນການຂັດແຍ້ງທີ່ຍາວນານ, ແຕ່ບັນຊີດັ່ງກ່າວຖືກລະງັບໃນລະຫວ່າງເວລານັ້ນ, ຖອນການບໍລິການການຜະລິດກັບມັນ.

ນີ້​ແມ່ນ​ເຫດ​ຜົນ​ການ​ແຈ້ງ​ເຕືອນ​ການ​ອອກ​ໃບ​ບິນ​ແລະ​ຂໍ້​ຈໍາ​ກັດ​ໂຄ​ຕາ​ບໍ່​ແມ່ນ​ການ​ທົດ​ແທນ​ການ​ຄຸ້ມ​ຄອງ​ຄວາມ​ລັບ​ທີ່​ເຫມາະ​ສົມ — ພວກ​ເຂົາ​ເຈົ້າ​ເປັນ​ເສັ້ນ​ສຸດ​ທ້າຍ​ຂອງ​ການ​ປ້ອງ​ກັນ​ທີ່​ທ່ານ​ຫວັງ​ວ່າ​ທ່ານ​ບໍ່​ຕ້ອງ​ການ​. ການຕັ້ງຂໍ້ຈຳກັດການໃຊ້ຈ່າຍລາຍເດືອນຢ່າງໜັກໜ່ວງໃນບັນຊີ AI API ແມ່ນເປັນຕາຕະລາງໃນຕອນນີ້, ແຕ່ການປົກປ້ອງທີ່ແທ້ຈິງແມ່ນຮັບປະກັນໃຫ້ຂໍ້ມູນປະຈຳຕົວເຫຼົ່ານັ້ນບໍ່ເຄີຍຮົ່ວໄຫຼຕັ້ງແຕ່ທຳອິດ.

ຂັ້ນຕອນການປະຕິບັດສຳລັບທີມທີ່ເຮັດການຫັນປ່ຽນ

ຖ້າທີມງານຂອງທ່ານໄດ້ສ້າງການເຊື່ອມໂຍງ Google API ພາຍໃຕ້ຮູບແບບຈິດໃຈແບບເກົ່າ ແລະຕອນນີ້ກຳລັງເພີ່ມ Gemini ເຂົ້າໄປໃນ stack, ນີ້ແມ່ນລາຍການກວດສອບການແກ້ໄຂຕົວຈິງ:

1. ກວດສອບບ່ອນເກັບຂໍ້ມູນທີ່ມີຢູ່ແລ້ວທັນທີ. ແລ່ນ truffleHog ຫຼື gitleaks ຕໍ່ກັບປະຫວັດ git ເຕັມຂອງທ່ານ, ບໍ່ພຽງແຕ່ HEAD ປະຈຸບັນເທົ່ານັ້ນ. ສຸມໃສ່ໂດຍສະເພາະກັບບ່ອນເກັບມ້ຽນໃດໆທີ່ມີການນໍາໃຊ້ລະຫັດ Google API ໃນໄລຍະຜ່ານມາ.
2. ໝຸນ​ກະ​ແຈ​ທີ່​ເປີດ​ເຜີຍ​ທັງ​ໝົດ. ຖ້າ​ກະ​ແຈ Gemini ເຄີຍ​ປະກົດ​ຢູ່​ໃນ​ຄຳ​ໝັ້ນ​ສັນ​ຍາ, ໃຫ້​ສົມ​ມຸດ​ວ່າ​ມັນ​ຖືກ​ລະ​ລາຍ. ຍົກເລີກມັນ ແລະສ້າງອັນໃໝ່. ຢ່າພະຍາຍາມປະເມີນວ່າມີໃຜ "ພົບ" ແທ້ຫຼືບໍ່.
3. ປະຕິບັດການສະແກນລ່ວງໜ້າ. ຕິດຕັ້ງອຸປະກອນກວດຈັບລັບຢູ່ໃນເຄື່ອງຂອງຜູ້ພັດທະນາທຸກເຄື່ອງ ແລະໃນທໍ່ CI/CD ເປັນປະຕູທີ່ບໍ່ສາມາດຜ່ານໄດ້.
4. ສ້າງສາງຫຼັກ. ຮູ້ວ່າບໍລິການໃດມີຂໍ້ມູນປະຈໍາຕົວ, ໃຜເປັນເຈົ້າຂອງ, ເມື່ອພວກມັນຖືກຫມຸນຄັ້ງສຸດທ້າຍ, ແລະບ່ອນທີ່ພວກມັນຖືກໃຊ້. ຕາຕະລາງແມ່ນຈຸດເລີ່ມຕົ້ນທີ່ດີ; ຜູ້ຈັດການຄວາມລັບແມ່ນປາຍທາງ.
5. ຕັ້ງການແຈ້ງເຕືອນການຮຽກເກັບເງິນ ແລະຂໍ້ຈຳກັດຍາກ. ໃນທຸກໆບັນຊີ AI API, ກຳນົດຄ່າການແຈ້ງເຕືອນຢູ່ທີ່ 50% ແລະ 80% ຂອງການໃຊ້ຈ່າຍລາຍເດືອນທີ່ຄາດໄວ້ຂອງທ່ານ, ແລະກຳນົດຂີດຈຳກັດທີ່ຍາກທີ່ຈະປ້ອງກັນເຫດການການຮຽກເກັບເງິນທີ່ຮ້າຍກາດ.
6. ເອກະສານຮູບແບບຈິດໃຈໃໝ່ຢ່າງຈະແຈ້ງ. ອັບເດດເອກະສານການເລີ່ມຕົ້ນ ແລະຄູ່ມືວິສະວະກຳຂອງທີມເຈົ້າເພື່ອລະບຸຢ່າງຈະແຈ້ງວ່າກະແຈ Gemini API ເປັນຂໍ້ມູນປະຈຳຕົວທີ່ມີຄວາມອ່ອນໄຫວສູງທີ່ຕ້ອງການການປິ່ນປົວແບບດຽວກັນກັບຄວາມລັບຂອງຕົວປະມວນຜົນການຈ່າຍເງິນ.

ບົດຮຽນທີ່ກວ້າງຂວາງສຳລັບທຸລະກິດທີ່ຂຶ້ນກັບເວທີ

ສະຖານະການ Gemini ສະແດງໃຫ້ເຫັນເຖິງຮູບແບບທີ່ມີຜົນກະທົບຕໍ່ທຸລະກິດໃດໆທີ່ປະສົມປະສານຢ່າງເລິກເຊິ່ງກັບແພລະຕະຟອມຂອງພາກສ່ວນທີສາມ: ເວທີພັດທະນາ, ແລະຄວາມຕ້ອງການດ້ານຄວາມປອດໄພພັດທະນາກັບພວກເຂົາ, ແຕ່ນິໄສຂອງສະຖາບັນຂອງທີມງານທີ່ໃຊ້ເວທີເຫຼົ່ານັ້ນມັກຈະບໍ່ຮັກສາຈັງຫວະ. ສິ່ງ​ທີ່​ປອດ​ໄພ​ໃນ​ມື້​ວານ​ນີ້​ແມ່ນ​ອັນ​ຕະ​ລາຍ​ໃນ​ມື້​ນີ້, ແລະ​ຊ່ອງ​ຫວ່າງ​ລະ​ຫວ່າງ​ສອງ​ລັດ​ນັ້ນ​ແມ່ນ​ບ່ອນ​ທີ່​ການ​ລະ​ເມີດ​ໄດ້​ເກີດ​ຂຶ້ນ.

ນີ້​ແມ່ນ​ສະ​ເທືອນ​ໃຈ​ໂດຍ​ສະ​ເພາະ​ສໍາ​ລັບ​ທຸ​ລະ​ກິດ​ທີ່​ດໍາ​ເນີນ​ການ stack ການ​ດໍາ​ເນີນ​ງານ​ທີ່​ຊັບ​ຊ້ອນ. ບໍລິສັດທີ່ໃຊ້ຄຸນສົມບັດ AI-powered ໃນທົ່ວການບໍລິການລູກຄ້າ, ການວິເຄາະ, ການຜະລິດເນື້ອຫາ, ແລະການແນະນໍາຜະລິດຕະພັນອາດຈະມີການເຊື່ອມໂຍງກັບ Gemini ໃນຫຼາຍສິບສະພາບການທີ່ແຕກຕ່າງກັນ - ແຕ່ລະຈຸດທີ່ອາດຈະເປັນໄປໄດ້ຖ້າຂໍ້ມູນປະຈໍາຕົວຖືກຈັດການກັບຄວາມບໍ່ສອດຄ່ອງ. ການ​ແກ້​ໄຂ​ແມ່ນ​ບໍ່​ພຽງ​ແຕ່​ດີກ​ວ່າ​ນິ​ໄສ​ການ​ພັດ​ທະ​ນາ​ບຸກ​ຄົນ​; ມັນ​ເປັນ​ສະ​ຖາ​ປັດ​ຕະ​. ການ​ເຂົ້າ​ເຖິງ​ໃບ​ຢັ້ງ​ຢືນ​ຈໍາ​ເປັນ​ຕ້ອງ​ໄດ້​ຮັບ​ການ​ສູນ​ກາງ, ການ​ກວດ​ສອບ, ແລະ​ການ​ຄຸ້ມ​ຄອງ​ໃນ​ລະ​ດັບ​ເວ​ທີ​.

ລະບົບ​ການ​ດຳ​ເນີນ​ທຸລະ​ກິດ​ທີ່​ທັນ​ສະ​ໄໝ​ໄດ້​ຮັບ​ການ​ອອກ​ແບບ​ເພີ່ມ​ຂຶ້ນ​ດ້ວຍ​ຄວາມ​ຄິດ​ນີ້. ເມື່ອ Mewayz ປະສົມປະສານຄວາມສາມາດ AI ໃນທົ່ວຊຸດຂອງມັນ — ຈາກຂັ້ນຕອນການເຮັດວຽກ CRM ອັດສະລິຍະໄປສູ່ການວິເຄາະອັດຕະໂນມັດໃນລະບົບນິເວດ 207-module ຂອງມັນ — ການຈັດການຂໍ້ມູນຮັບຮອງແມ່ນຈັດການກັບຊັ້ນໂຄງສ້າງ, ບໍ່ແມ່ນຊັ້ນຂອງແອັບພລິເຄຊັນ. ນັກພັດທະນາໂມດູນສ່ວນບຸກຄົນບໍ່ໄດ້ຈັດການລະຫັດ API ດິບ; ພວກເຂົາເຈົ້າເຂົ້າເຖິງຄວາມສາມາດໂດຍຜ່ານຊັ້ນ abstraction ທີ່ບັງຄັບໃຊ້ນະໂຍບາຍການຫມຸນ, ການເຂົ້າເຖິງການກວດສອບ, ແລະຈໍາກັດ radius blast ຖ້າບາງສິ່ງບາງຢ່າງຜິດພາດ. ນີ້ແມ່ນສະຖາປັດຕະຍະກໍາທີ່ຍຸກ Gemini ຕ້ອງການ: ບໍ່ພຽງແຕ່ນິໄສທີ່ດີກວ່າ, ແຕ່ລະບົບທີ່ດີກວ່າທີ່ເຮັດໃຫ້ນິໄສທີ່ຖືກຕ້ອງເປັນທາງເລືອກດຽວເທົ່ານັ້ນ.

Google ບໍ່​ໄດ້​ເຮັດ​ຜິດ​ພາດ​ໃນ​ການ​ສ້າງ​ແບບ​ຈຳ​ລອງ API ທີ່​ອະ​ນຸ​ຍາດ​ສຳ​ລັບ​ແຜນ​ທີ່ ແລະ YouTube. ຮູບແບບດັ່ງກ່າວແມ່ນເຫມາະສົມສໍາລັບການບໍລິການເຫຼົ່ານັ້ນ. ແຕ່ຍ້ອນວ່າຄວາມສາມາດແລະຄ່າໃຊ້ຈ່າຍຂອງ APIs ພັດທະນາຢ່າງຫຼວງຫຼາຍ - ແລະຍ້ອນວ່າ AI APIs ເປັນຕົວແທນຂອງບາງທີອາດມີຈຸດອ່ອນທີ່ສຸດໃນວິວັດທະນາການນັ້ນ - ອຸດສາຫະກໍາທັງຫມົດຈໍາເປັນຕ້ອງປັບຄ່າເລີ່ມຕົ້ນໃຫມ່. ຜູ້ພັດທະນາທີ່ຈະເລີນຮຸ່ງເຮືອງໃນສະພາບແວດລ້ອມນີ້ຈະບໍ່ແມ່ນຜູ້ທີ່ຮຽນຮູ້ກົດລະບຽບເກົ່າດີທີ່ສຸດ, ແຕ່ຜູ້ທີ່ຮັບຮູ້ວ່າກົດລະບຽບມີການປ່ຽນແປງພື້ນຖານເມື່ອໃດ.

ຄຳຖາມທີ່ຖາມເລື້ອຍໆ

ເປັນ​ຫຍັງ​ກະ​ແຈ Google API ໃນ​ປະ​ຫວັດ​ສາດ​ຈຶ່ງ​ຖື​ວ່າ​ປອດ​ໄພ​ທີ່​ຈະ​ເປີດ​ເຜີຍ​ຕໍ່​ສາ​ທາ​ລະ​ນະ?

Google ອອກແບບ APIs ຂອງຕົນຫຼາຍອັນ — ແຜນທີ່, YouTube, ສະຖານທີ່ — ສໍາລັບການນໍາໃຊ້ຝ່າຍລູກຄ້າ, ຊຶ່ງຫມາຍຄວາມວ່າກະແຈຖືກຝັງໄວ້ໂດຍເຈດຕະນາຢູ່ໃນລະຫັດດ້ານຫນ້າສາມາດເຫັນໄດ້ໂດຍໃຜກໍຕາມ. ຮູບແບບຄວາມປອດໄພແມ່ນອີງໃສ່ຂໍ້ຈໍາກັດການນໍາໃຊ້ເຊັ່ນ: ໂດເມນທີ່ອະນຸຍາດແລະການກວດສອບຜູ້ອ້າງອີງແທນທີ່ຈະເປັນຄວາມລັບທີ່ສໍາຄັນ. ເປັນເວລາຫຼາຍປີ, ກະແຈທີ່ຖືກເປີດເຜີຍຖືກພິຈາລະນາເປັນບັນຫາການຕັ້ງຄ່າ, ບໍ່ແມ່ນຊ່ອງໂຫວ່ທີ່ສຳຄັນທີ່ຕ້ອງການການໝູນວຽນທັນທີ.

ມີຫຍັງປ່ຽນແປງເມື່ອ Google ນຳສະເໜີກະແຈ Gemini API?

ບໍ່ຄືກັບ Google APIs ແບບເກົ່າ, ກະແຈ Gemini API ເຮັດວຽກຄືກັບຄວາມລັບແບບດັ້ງເດີມຫຼາຍ - ການເປີດເຜີຍອັນໜຶ່ງສາມາດສົ່ງຜົນໃຫ້ບັນຊີຮຽກເກັບເງິນທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ, ການໃຊ້ແບບຈໍາລອງແບບຜິດໆ ຫຼືໝົດໂຄຕ້າໂດຍບໍ່ມີຂໍ້ຈຳກັດໃນຕົວເພື່ອຊ່ວຍປະຢັດທ່ານ. ການປ່ຽນແປງຫມາຍຄວາມວ່າຜູ້ພັດທະນາໃນປັດຈຸບັນຕ້ອງປະຕິບັດຕໍ່ກະແຈ Gemini ດ້ວຍລະບຽບວິໄນດຽວກັນກັບຂໍ້ມູນປະຈໍາຕົວຂອງ AWS ຫຼືກະແຈລັບ Stripe, ເກັບຮັກສາພວກມັນໄວ້ຂ້າງເຊີບເວີແລະບໍ່ເຄີຍຢູ່ໃນລະຫັດທີ່ລູກຄ້າປະເຊີນຫນ້າ.

ຜູ້​ພັດ​ທະ​ນາ​ຄວນ​ຈັດ​ການ​ກະ​ແຈ API ຢ່າງ​ປອດ​ໄພ​ສຳ​ລັບ​ບໍ​ລິ​ການ AI ໃນ​ມື້​ນີ້​ແນວ​ໃດ?

ການປະຕິບັດທີ່ດີທີ່ສຸດແມ່ນການເກັບຮັກສາກະແຈ AI API ທັງໝົດເປັນຕົວແປສະພາບແວດລ້ອມຢູ່ໃນເຊີບເວີ, ບໍ່ເຄີຍຢູ່ໃນໄຟລ໌ທີ່ຄວບຄຸມເວີຊັນ ຫຼືຊຸດລູກຂ່າຍ. ໃຊ້ຕົວຈັດການຄວາມລັບ, ໝຸນກະແຈເປັນປະຈຳ, ແລະກຳນົດຂອບເຂດການໃຊ້ຈ່າຍໃນລະດັບຜູ້ໃຫ້ບໍລິການ. ແພລດຟອມເຊັ່ນ: Mewayz — 207-module business OS ໃນລາຄາ $19/ເດືອນ ທີ່ມີໃຫ້ຢູ່ app.mewayz.com — ຈັດການ API credential management ພາຍໃນໂຄງສ້າງພື້ນຖານຂອງເຂົາເຈົ້າ ເພື່ອໃຫ້ທີມງານບໍ່ໄດ້ຕີຄີຜ່ານບໍລິການຕ່າງໆ.

ຂ້ອຍຄວນເຮັດແນວໃດຖ້າຂ້ອຍເປີດເຜີຍລະຫັດ Gemini API ໂດຍບັງເອີນ?

ຖອນລະຫັດທີ່ຖືກລະເມີດໃນທັນທີຜ່ານ Google Cloud Console ແລະສ້າງການທົດແທນກ່ອນທີ່ຈະເຮັດຫຍັງອີກ. ກວດສອບແຜງໜ້າປັດການຮຽກເກັບເງິນຂອງເຈົ້າສຳລັບການນຳໃຊ້ທີ່ບໍ່ຄາດຄິດ ເຊິ່ງສາມາດຊີ້ບອກໄດ້ວ່າກະແຈຖືກເກັບກ່ຽວແລ້ວ. ຈາກນັ້ນກວດເບິ່ງ codebase ຂອງທ່ານ, ຕົວແປສະພາບແວດລ້ອມ CI/CD, ແລະບ່ອນເກັບມ້ຽນສາທາລະນະໃດໆສໍາລັບຂໍ້ມູນປະຈໍາຕົວທີ່ຮົ່ວໄຫຼອື່ນໆ. ປະຕິບັດຕໍ່ເຫດການດັ່ງທີ່ເຈົ້າຕ້ອງການຂໍ້ມູນການຊໍາລະທີ່ເປີດເຜີຍ — ສົມມຸດວ່າມັນຖືກພົບເຫັນ ແລະດໍາເນີນການຕາມຄວາມເຫມາະສົມ.