Kelola Rahasia (Secrets) dengan Hati-Hati
Alat AI membaca file-file Anda, dan terkadang membagikan konteks itu ke layanan jarak jauh. Itu membuat bocornya rahasia (secrets) menjadi risiko nyata. Bangun kebiasaan baik sejak hari pertama:
- Jangan pernah menaruh kunci asli di dalam kode. Gunakan variabel lingkungan (environment variables) dan file
.env. - Selalu gitignore file
.envAnda. sebuah.env.exampledengan placeholder kosong sehingga AI tahu apa yang dibutuhkan tanpa melihat nilai sebenarnya. - Batasi cakupan kunci secara sempit dan rotasi apa pun yang mungkin sudah terekspos.
- Beri tahu AI dalam file konteks Anda untuk tidak pernah menghardcode atau meng-commit rahasia.
Aturan yang lantang seperti Never read or print the contents of .env di AGENTS.md Anda adalah asuransi murah. Begitu pula pre-commit hook atau alat pemindai-rahasia (secret-scanning) yang menolak commit yang mengandung sesuatu yang mirip kunci — pertahanan berlapis (defense in depth) penting di sini karena biaya kebocoran itu asimetris. Kunci yang terdorong (push) ke repositori publik sudah terkompromikan pada saat itu juga, bahkan jika Anda menghapusnya sedetik kemudian, karena bot mengais-ngais commit secara real time. Jika ragu, anggap saja kunci yang terekspos itu sudah terbakar dan rotasi kuncinya; merotasi kunci hanya butuh semenit, sementara membersihkan akibat kebocorannya bisa memakan waktu berhari-hari.