Аккуратно управляйте секретами
AI-инструменты читают ваши файлы, а иногда делятся контекстом с удалённым сервисом. Это делает утечку секретов реальным риском. Стройте хорошие привычки с первого дня:
- Никогда не кладите реальные ключи в код. Используйте переменные окружения и файл
.env. - Всегда добавляйте
.envв gitignore. Закоммитьте.env.exampleс пустыми плейсхолдерами, чтобы AI знал, что нужно, не видя значений. - Узко ограничивайте область ключей и ротируйте всё, что могло быть раскрыто.
- Скажите AI в файле контекста никогда не хардкодить и не коммитить секреты.
Громкое правило вроде Never read or print the contents of .env в вашем AGENTS.md — дешёвая страховка. Как и pre-commit-хук или инструмент сканирования секретов, который отказывает в коммите, содержащем что-то похожее на ключ, — стоимость утечки асимметрична, поэтому здесь важна эшелонированная защита. Ключ, запушенный в публичный репозиторий, скомпрометирован в тот же миг, как он туда попал, даже если вы удалите его секундой позже, потому что боты выгребают коммиты в реальном времени. Сомневаетесь — считайте раскрытый ключ сгоревшим и ротируйте его; ротация ключа занимает минуту, а разгребание последствий утёкшего может занять дни.