Tuginedes otsingutulemustele, on siin peamised punktid OpenAI API võtmete kasutamise kohta tokenserveritega, et tagada parem turvalisus:
Peamised OpenAI API-võtmetega seotud turvaprobleemid seisnevad selles, et kui võti avalikustatakse, saab igaüks seda kasutada teie OpenAI kontole juurdepääsuks ja sellega kaasnevad tasud. Selle riski maandamiseks soovitavad otsingutulemused mitut lähenemisviisi.
1. Kasutage keskkonnamuutujaid või salajasi haldusteenuseid, nagu AWS Secrets Manager, HashiCorp Vault või CyberArk Conjur, et salvestada API võti turvaliselt serveri poolel, mitte manustada seda kliendipoolsesse koodi.[1][3]
2. Rakendage oma serveris vahevara API, mis haldab API-kutseid OpenAI-le, nii et API-võti ei satuks kunagi kliendile.[3]
3. Kasutage lüüsiteenust, nagu Zuplo, mis võib toimida puhverserverina, salvestades teie API-võtme turvaliselt ja lisades enne taotluse OpenAI-le edastamist vajalikud autoriseerimispäised.[4]
4. Piirake API võtme õigused ainult vajalike lõpp-punktidega, mitte kasutama piiramatut võtit.[2]
5. Vahetage API-võtit regulaarselt ja värskendage kõiki teenuseid, kasutades vana võtit.[3]
Kokkuvõttes on soovitatav kasutada OpenAI API võtme turvaliseks haldamiseks tokenserverit või vahevara API-d, selle asemel, et seda otse kliendirakendustele avaldada. See annab täiendava turvakihi ja kontrolli selle üle, kes pääsevad API-le juurde.[1][3][4]
Tsitaadid:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185