Arama sonuçlarına göre, daha iyi güvenlik için OpenAI API anahtarlarını token sunucularıyla kullanmanın önemli noktaları şunlardır:
OpenAI API anahtarlarıyla ilgili temel güvenlik endişeleri, anahtarın açığa çıkması durumunda OpenAI hesabınıza erişmek ve ücrete tabi olmak için herkes tarafından kullanılabilmesidir. Bu riski azaltmak için arama sonuçları birkaç yaklaşım önermektedir:
1. API anahtarını istemci tarafı koduna gömmek yerine sunucu tarafında güvenli bir şekilde depolamak için AWS Secrets Manager, HashiCorp Vault veya CyberArk Conjur gibi ortam değişkenlerini veya gizli yönetim hizmetlerini kullanın.[1][3]
2. OpenAI'ye yapılan API çağrılarını işleyen kendi sunucunuza bir ara katman yazılımı API'si uygulayın, böylece API anahtarı hiçbir zaman istemciye gösterilmez.[3]
3. İsteğinizi OpenAI'ye iletmeden önce API anahtarınızı güvenli bir şekilde saklayan ve gerekli yetkilendirme başlıklarını ekleyen, proxy görevi görebilen Zuplo gibi bir ağ geçidi hizmeti kullanın.[4]
4. API anahtarının izinlerini, kısıtlanmamış bir anahtar kullanmak yerine yalnızca gerekli uç noktalarla sınırlandırın.[2]
5. API anahtarını düzenli olarak döndürün ve eski anahtarı kullanarak tüm hizmetleri güncelleyin.[3]
Özetle önerilen yaklaşım, OpenAI API anahtarını doğrudan istemci uygulamalarına göstermek yerine güvenli bir şekilde yönetmek için bir belirteç sunucusu veya ara katman yazılımı API'si kullanmaktır. Bu, API'ye kimlerin erişebileceği konusunda ek bir güvenlik ve kontrol katmanı sağlar.[1][3][4]
Alıntılar:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185