一、問(wèn)題背景：硬編碼的安全風(fēng)險(xiǎn)

在傳統(tǒng)的開(kāi)發(fā)實(shí)踐中，開(kāi)發(fā)者常常會(huì)將 API 密鑰、數(shù)據(jù)庫(kù)憑證等敏感信息硬編碼到源代碼中或存儲(chǔ)在環(huán)境變量中。雖然這樣看似方便，但一旦代碼庫(kù)被公開(kāi)或泄露，敏感信息就會(huì)被輕易獲取。就如同在公共場(chǎng)合張揚(yáng)你的密碼，給惡意攻擊者留下可乘之機(jī)。

1.1 環(huán)境變量的風(fēng)險(xiǎn)

存儲(chǔ)在環(huán)境變量中的 API 密鑰雖然比硬編碼方式稍微安全一些，但仍然存在“秘密蔓延”的問(wèn)題。環(huán)境變量的內(nèi)容往往會(huì)在多個(gè)環(huán)境中出現(xiàn)，尤其是在開(kāi)發(fā)、測(cè)試、生產(chǎn)環(huán)境中。如果不小心泄露了環(huán)境變量，攻擊者仍然可以獲取這些敏感數(shù)據(jù)。

1.2 密鑰泄漏的常見(jiàn)途徑

• 版本控制系統(tǒng)：如果不小心將包含密鑰的文件提交到 GitHub 或其他代碼托管平臺(tái)，密鑰將被公開(kāi)。
• 日志記錄：將敏感信息記錄到日志中，特別是在開(kāi)發(fā)和調(diào)試期間，可能無(wú)意中泄露密鑰。
• 環(huán)境變量泄露：如果環(huán)境變量管理不當(dāng)，或者被多個(gè)應(yīng)用共享，可能會(huì)導(dǎo)致數(shù)據(jù)泄露。

二、使用密碼管理器管理API密鑰

為了減少敏感信息泄露的風(fēng)險(xiǎn)，我們可以采用密碼管理器（如 1Password）來(lái)管理和保護(hù)這些 API 密鑰。密碼管理器不僅可以安全存儲(chǔ)這些密鑰，還可以通過(guò) API 調(diào)用動(dòng)態(tài)獲取密鑰，而不需要將其暴露在源代碼或環(huán)境變量中。

2.1 示例：使用 1Password 管理 OpenAI API 密鑰

假設(shè)我們正在使用 OpenAI API，并且需要傳遞 API 密鑰進(jìn)行身份驗(yàn)證。通常，API 文檔會(huì)提供兩種方式來(lái)使用 API 密鑰：

1. 將 API 密鑰硬編碼到代碼中；
2. 將 API 密鑰存儲(chǔ)為環(huán)境變量。

然而，這兩種方式都存在安全隱患。為此，我們選擇通過(guò) 1Password 來(lái)安全地管理和引用 API 密鑰。

步驟：

1. 在 1Password 中存儲(chǔ) API 密鑰；
2. 在代碼中使用 1Password 提供的 Secrets Reference 功能來(lái)動(dòng)態(tài)獲取密鑰。

# 示例命令：使用 1Password CLI 獲取 API 密鑰
op run --env MY_SECRET=$(op get item "OpenAI API Key" --fields password) python myscript.py

2.2 替代硬編碼與環(huán)境變量的優(yōu)勢(shì)

• 減少密鑰暴露風(fēng)險(xiǎn)：密鑰始終存儲(chǔ)在 1Password 中，開(kāi)發(fā)者僅通過(guò) CLI 獲取，不會(huì)暴露在源代碼或環(huán)境變量中。
• 簡(jiǎn)化密鑰管理：通過(guò) API 調(diào)用方式，我們可以隨時(shí)更新密鑰，而無(wú)需手動(dòng)更新每個(gè)環(huán)境變量。
• 避免秘密蔓延：每個(gè)密鑰可以單獨(dú)管理，避免多個(gè)系統(tǒng)間的密鑰泄露或誤用。

三、在生產(chǎn)環(huán)境中使用 Secrets Reference

雖然通過(guò)環(huán)境變量來(lái)存儲(chǔ)密鑰是一種常見(jiàn)的做法，但為了進(jìn)一步提升安全性，推薦使用 1Password Secrets Reference 功能，將密鑰動(dòng)態(tài)注入到運(yùn)行時(shí)環(huán)境中，而不是硬編碼或靜態(tài)存儲(chǔ)。這樣，敏感信息可以集中管理，并且隨時(shí)更新。

3.1 設(shè)置 Secrets Reference

1. 在 1Password 中創(chuàng)建一個(gè)服務(wù)賬戶（如“OpenAI 測(cè)試”），并為其分配只讀權(quán)限以訪問(wèn)存儲(chǔ)密鑰的 Vault；
2. 獲取 Secrets Reference，將其存儲(chǔ)在代碼中，動(dòng)態(tài)調(diào)用。

# 1Password CLI 示例命令
op run --env OP_API_KEY="op://my-vault/my-api-key" python script.py

3.2 通過(guò) Service Account 提高安全性

當(dāng)我們?cè)谶h(yuǎn)程環(huán)境中操作時(shí)，可以使用 1Password 服務(wù)賬戶 來(lái)為應(yīng)用程序提供臨時(shí)訪問(wèn)權(quán)限，而不是直接暴露賬號(hào)憑證。

步驟：

1. 在 1Password 中創(chuàng)建一個(gè)服務(wù)賬戶；
2. 配置服務(wù)賬戶訪問(wèn)特定的 Vault，確保它只具有讀取所需密鑰的權(quán)限；
3. 使用服務(wù)賬戶的令牌進(jìn)行身份驗(yàn)證，確保不會(huì)泄露全局權(quán)限。

# 設(shè)置服務(wù)賬戶令牌環(huán)境變量
export OP_SERVICE_ACCOUNT_TOKEN="your-token"

四、集成密碼管理器與API調(diào)用的最佳實(shí)踐

4.1 使用 Secrets Reference 替代硬編碼密鑰

通過(guò) 1Password Secrets Reference 功能，開(kāi)發(fā)者可以更輕松地管理敏感信息，并確保密鑰的集中管理。尤其是在持續(xù)集成/持續(xù)部署（CI/CD）管道中，使用動(dòng)態(tài)密鑰引用可以避免靜態(tài)存儲(chǔ)和暴露。

# 示例：CI/CD 腳本中使用 Secrets Reference
op run --env MY_API_KEY=$(op get item "OpenAI API Key" --fields password) python deploy.py

4.2 最小化權(quán)限與訪問(wèn)控制

• 原則：只授權(quán)最小的訪問(wèn)權(quán)限，避免開(kāi)發(fā)者或應(yīng)用程序擁有超出需求的權(quán)限。
• 實(shí)現(xiàn)：配置 1Password Vault 權(quán)限，確保只有授權(quán)的服務(wù)賬戶可以訪問(wèn)密鑰。
• 定期更新密鑰：定期更換 API 密鑰，并通過(guò) 1Password 快速同步更新。

五、如何防止密鑰泄露和濫用？

5.1 使用加密通信

始終使用 HTTPS 協(xié)議進(jìn)行 API 調(diào)用，確保通信過(guò)程中密鑰不被中間人攻擊（MITM）截獲。

5.2 設(shè)置訪問(wèn)限制與日志審計(jì)

• 限制 API 調(diào)用來(lái)源：通過(guò) IP 白名單或令牌訪問(wèn)控制，限制只有可信來(lái)源才能調(diào)用 API。
• 日志審計(jì)：?jiǎn)⒂?API 調(diào)用日志記錄，監(jiān)控是否有異常訪問(wèn)行為。

六、結(jié)語(yǔ)

使用 1Password 等密碼管理器來(lái)管理和保護(hù) API 密鑰，為開(kāi)發(fā)者提供了一種更安全、更便捷的密鑰管理方式。通過(guò)利用 Secrets Reference，我們不僅避免了硬編碼密鑰的風(fēng)險(xiǎn)，還實(shí)現(xiàn)了密鑰的集中管理和實(shí)時(shí)更新。結(jié)合最佳實(shí)踐和安全措施，能夠大大提升我們的應(yīng)用程序和賬戶的安全性。

通過(guò)這種方式，我們不僅保護(hù)了敏感信息，還簡(jiǎn)化了密鑰的管理流程，有效防止了密鑰泄露和濫用，確保了開(kāi)發(fā)環(huán)境與生產(chǎn)環(huán)境的安全性。

原文引自YouTube視頻：https://www.youtube.com/watch?v=MR1N7p2fKAo