~/VibeHandbook
$39
本を読むリファレンス理念PDFを入手よくある質問

02 · 06

シークレットを慎重に管理する

AIツールはあなたのファイルを読み、ときにリモートサービスとコンテキストを共有する。それは漏洩したシークレットを現実のリスクにする。初日から良い習慣を築こう。

  • 本物のキーをコードに置かない。 環境変数と .env ファイルを使う。
  • .env を必ずgitignoreする。 空のプレースホルダを入れた .env.example をコミットし、値を見せずに何が必要かをAIに知らせる。
  • キーのスコープを狭くし、露出した可能性のあるものはローテーションする。
  • コンテキストファイルでAIにシークレットを決してハードコードもコミットもしないよう伝える。

AGENTS.md に Never read or print the contents of .env のような声高なルールを置くのは、安上がりな保険だ。キーらしきものを含むコミットを拒否するpre-commitフックやシークレットスキャンツールも同じだ——漏洩のコストは非対称なので、ここでは多層防御が重要になる。公開リポにプッシュされたキーは、たとえ数秒後に消しても、着地した瞬間にすでに漏洩している。ボットがリアルタイムでコミットを掻き集めるからだ。疑わしいときは、露出したキーは焼け焦げたものとみなしてローテーションせよ。キーのローテーションは一分で済むが、漏洩したキーの後始末は何日もかかりうる。

オフラインでも読みたい?

PDF + EPUB + ダウンロード可能なプロンプトライブラリ + バージョンアップデートを入手しよう。

$ PDFを入手 — $39