بناءً على نتائج البحث ، إليك النقاط الرئيسية حول استخدام مفاتيح API Openai مع خوادم رمزية لتحسين الأمان:
تتمثل المخاوف الأمنية الرئيسية حول مفاتيح API Openai في أنه إذا تم كشف المفتاح ، فيمكن أي شخص استخدامه للوصول إلى حساب Openai الخاص بك ورسومهم. للتخفيف من هذا المخاطر ، توصي نتائج البحث بعدة أساليب:
1. استخدم متغيرات البيئة أو خدمات الإدارة السرية مثل AWS Secrets Manager أو Hashicorp Vault أو Cyberark Conjur لتخزين مفتاح API بشكل آمن على جانب الخادم ، بدلاً من تضمينه في رمز من جانب العميل. [1] [3]
2. قم بتنفيذ واجهة برمجة تطبيقات البرامج الوسيطة على الخادم الخاص بك الذي يتولى مكالمات API إلى Openai ، وبالتالي فإن مفتاح API لا يتعرض أبدًا للعميل. [3]
3. استخدم خدمة بوابة مثل Zuplo التي يمكن أن تعمل كبديل ، وتخزين مفتاح API الخاص بك بشكل آمن وإضافة رؤوس التفويض اللازمة قبل إعادة توجيه الطلب إلى Openai. [4]
4. تقييد أذونات مفتاح API لنقاط النهاية اللازمة فقط ، بدلاً من استخدام مفتاح غير مقيد. [2]
5. قم بتدوير مفتاح API بانتظام وتحديث أي خدمات باستخدام المفتاح القديم. [3]
لذا ، باختصار ، يتمثل النهج الموصى به في استخدام خادم رمزي أو واجهة برمجة تطبيقات الوسيطة لإدارة مفتاح Openai API بشكل آمن ، بدلاً من تعريضه مباشرة لتطبيقات العميل. يوفر هذا طبقة إضافية من الأمان والتحكم في من يمكنه الوصول إلى واجهة برمجة التطبيقات. [1] [3] [4]
الاستشهادات:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-owke-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allow-tis-bring-your-own-ekey-use/161185