~/VibeHandbook
$39
책 읽기레퍼런스철학PDF 받기자주 묻는 질문

챕터 02 · 06

시크릿을 신중하게 관리하기

AI 도구는 당신의 파일을 읽고, 때로는 원격 서비스와 맥락을 공유한다. 그래서 시크릿 유출은 실제 위험이다. 첫날부터 좋은 습관을 들여라:

  • 실제 키를 코드에 절대 넣지 마라. 환경 변수와 .env 파일을 써라.
  • 항상 .env를 gitignore하라. 빈 자리표시자가 있는 .env.example을 커밋해 AI가 값을 보지 않고도 무엇이 필요한지 알게 하라.
  • 키의 범위를 좁게 잡고 노출됐을 수 있는 것은 무엇이든 교체하라.
  • 컨텍스트 파일에서 AI에게 시크릿을 절대 하드코딩하거나 커밋하지 말라고 일러둬라.

AGENTS.md에 Never read or print the contents of .env 같은 강력한 규칙은 값싼 보험이다. 키처럼 보이는 무언가가 담긴 커밋을 거부하는 pre-commit 훅이나 시크릿 스캐닝 도구도 마찬가지다 — 유출의 비용은 비대칭적이라 여기서는 다층 방어가 중요하다. 공개 리포에 푸시된 키는, 당신이 몇 초 뒤에 지우더라도, 그것이 도착하는 순간 이미 탈취된 것이다. 봇이 실시간으로 커밋을 긁어가기 때문이다. 의심스러우면 노출된 키는 폐기된 것으로 간주하고 교체하라; 키 교체는 1분이면 되지만, 유출된 키의 뒷수습은 며칠이 걸릴 수 있다.

오프라인으로 보고 싶으세요?

PDF + EPUB + 다운로드형 프롬프트 라이브러리 + 버전 업데이트를 받으세요.

$ PDF 받기 — $39