安全与 API Key 使用规范
API Key 是敏感凭证。公开文档、GitHub、截图、聊天记录里都不要出现真实 key。
1. 正确做法
- 文档里只写占位符,例如
your_synterolink_key。 - 本地终端使用环境变量。
- 团队项目使用
.env,并把.env加入.gitignore。 - CI/CD 使用平台 Secrets。
- 离职、泄漏或权限变化时立即轮换 key。
2. 本地环境变量示例
export OPENAI_API_KEY="your_synterolink_key"
export ANTHROPIC_AUTH_TOKEN="your_synterolink_key"3. .env 示例
OPENAI_API_KEY=your_synterolink_key
ANTHROPIC_AUTH_TOKEN=your_synterolink_key.env 文件不要提交到 Git。
4. Git 忽略配置
.env
.env.*
*.local5. 团队管理建议
| 场景 | 建议 |
|---|---|
| 个人测试 | 个人 key,低权限 |
| 团队共享 | 使用团队 key,并限制访问范围 |
| 生产服务 | 使用专门生产 key,单独权限和限额 |
| 出现泄漏 | 立即禁用旧 key,生成新 key |
6. 公开分享前检查
grep -R "sk-" .如果发现真实 key,先删除、轮换,再重新发布。