Pamatojoties uz meklēšanas rezultātiem, tālāk ir norādīti galvenie punkti par OpenAI API atslēgu izmantošanu ar marķiera serveriem labākai drošībai.
Galvenās drošības problēmas saistībā ar OpenAI API atslēgām ir tādas, ka, ja atslēga tiek atklāta, to var izmantot ikviens, lai piekļūtu jūsu OpenAI kontam, un par to tiks iekasēta maksa. Lai mazinātu šo risku, meklēšanas rezultātos ir ieteiktas vairākas pieejas:
1. Izmantojiet vides mainīgos vai slepenos pārvaldības pakalpojumus, piemēram, AWS Secrets Manager, HashiCorp Vault vai CyberArk Conjur, lai API atslēgu droši glabātu servera pusē, nevis iegultu to klienta puses kodā.[1][3]
2. Ieviesiet savā serverī starpprogrammatūras API, kas apstrādā API izsaukumus uz OpenAI, lai API atslēga nekad netiktu atklāta klientam.[3]
3. Izmantojiet vārtejas pakalpojumu, piemēram, Zuplo, kas var darboties kā starpniekserveris, droši glabājot jūsu API atslēgu un pievienojot nepieciešamās autorizācijas galvenes pirms pieprasījuma pārsūtīšanas uz OpenAI.[4]
4. Ierobežojiet API atslēgas atļaujas tikai nepieciešamajiem galapunktiem, nevis izmantojiet neierobežotu atslēgu.[2]
5. Regulāri mainiet API atslēgu un atjauniniet visus pakalpojumus, izmantojot veco atslēgu.[3]
Rezumējot, ieteicamā pieeja ir izmantot marķiera serveri vai starpprogrammatūras API, lai droši pārvaldītu OpenAI API atslēgu, nevis tieši pakļautu to klienta lietojumprogrammām. Tas nodrošina papildu drošības līmeni un kontroli pār to, kas var piekļūt API.[1][3][4]
Citāts:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185