คู่มือนักพัฒนา
5 นาที

วิธีแชร์ API Key และ Secret กับทีมอย่างปลอดภัย

เรียนรู้วิธีแชร์ API key, secret key และ environment variables กับทีมพัฒนาอย่างปลอดภัย หลีกเลี่ยงวิธีที่อันตรายและใช้แนวปฏิบัติที่ดีที่สุด

LOCK.PUB
วิธีแชร์ API Key และ Secret กับทีมอย่างปลอดภัย

วิธีแชร์ API Key และ Secret กับทีมอย่างปลอดภัย

ถ้าคุณเขียนโค้ดเป็นอาชีพ แทบจะแน่นอนว่าเคยต้องแชร์ API key, secret key, รหัสผ่านฐานข้อมูล หรือ server credential กับเพื่อนร่วมทีม คำถามคือจะทำอย่างไรโดยไม่สร้างช่องโหว่ความปลอดภัย

วิธีแชร์ที่อันตราย

1. Commit ลง Git

Commit ไฟล์ .env ลง Git repository เป็นข้อผิดพลาดที่พบบ่อยและอันตรายที่สุด

# อย่าทำแบบนี้เด็ดขาด
git add .env
git commit -m "add env variables"
git push origin main

เมื่อ secret เข้าไปใน Git history การลบด้วย git rm ไม่ได้ลบออกจาก history บน public repository บอทอัตโนมัติตรวจจับ secret ที่เปิดเผยภายในไม่กี่วินาที

2. วางใน Slack หรือ Discord

วาง API key ตรงๆ ในช่องแชทมีความเสี่ยงเท่ากัน ทุกคนที่เข้าถึงช่องเห็นได้ ค้นหาข้อความพบทีหลัง ข้อความคงอยู่แม้พนักงานลาออก

3. ส่งทางอีเมล

อีเมลไม่ได้เข้ารหัสเป็นค่าเริ่มต้น

ค่าใช้จ่ายจริงของ API Key รั่วไหล

เหตุการณ์ ความเสียหาย
นักพัฒนา AWS key รั่ว ถูกเรียกเก็บ 200,000 บาทข้ามคืน
Startup public GitHub ถูกเรียกเก็บกว่า 1.5 ล้านบาทใน 3 วัน

วิธีแชร์ API Key ที่ปลอดภัย

วิธีที่ 1: LOCK.PUB โน้ตลับ (แชร์ทันที)

วิธีที่ใช้งานจริงที่สุดเมื่อต้องส่ง key ให้เพื่อนร่วมทีมเดี๋ยวนี้

  1. สร้างโน้ตลับบน LOCK.PUB
  2. กรอก API key และบริบทที่เกี่ยวข้อง
  3. ตั้งรหัสผ่านและเวลาหมดอายุสั้น (เช่น 1 ชั่วโมง)
  4. ส่งลิงก์ทาง Slack และรหัสผ่านทาง DM แยก

ข้อดี:

  • ลบอัตโนมัติหลังหมดอายุ
  • ต้องกรอกรหัสผ่านเพื่อดู
  • เก็บเข้ารหัสบนเซิร์ฟเวอร์
  • ไม่มี key ดิบเหลือใน Slack history

วิธีที่ 2: Secret Management Tools (ระดับทีม)

เครื่องมือ จุดแข็ง เหมาะสำหรับ
HashiCorp Vault ทรงพลังที่สุด องค์กรใหญ่
AWS Secrets Manager เข้ากับ AWS โครงสร้าง AWS
1Password Teams ใช้งานง่าย Startup ทีมเล็ก
Doppler ซิงค์ env var อัตโนมัติ ทีม DevOps

วิธีที่ 3: .env.example Pattern

เพิ่ม .env ใน .gitignore เสมอ

แนวปฏิบัติที่ดีที่สุด

1. หมุนเวียน Key เป็นประจำ

ประเภท Key การหมุนเวียนที่แนะนำ
Production API keys 90 วัน
Database passwords 60 วัน
Service tokens 30 วัน
Dev/test keys ทันทีเมื่อมีคนลาออก

2. ใช้ Key แยกตาม Environment

ใช้ key ต่างกันสำหรับ development, staging และ production

3. หลักการสิทธิ์น้อยที่สุด

ให้สิทธิ์เท่าที่จำเป็นเท่านั้น

4. ตรวจจับรั่วไหลอัตโนมัติ

ใช้เครื่องมือเช่น GitHub Secret Scanning, GitGuardian หรือ TruffleHog

สรุป

การจัดการ API key และ secret เป็นพื้นฐานของความปลอดภัยในการพัฒนา วาง key ใน Slack หรือส่งทางอีเมลอาจรู้สึกสะดวก แต่รั่วไหลครั้งเดียวอาจเสียหายหลายแสนถึงหลายล้าน

ถ้าต้องแชร์ key กับเพื่อนร่วมทีมเดี๋ยวนี้ ลองใช้โน้ตลับ

สร้างโน้ตลับ ->

คำสำคัญ

แชร์ API key
จัดการ secret key
ความปลอดภัยนักพัฒนา
จัดการ environment variable
ป้องกันรั่วไหล key
แชร์ credential ปลอดภัย

คุณอาจสนใจ

สร้างลิงก์ที่ป้องกันด้วยรหัสผ่านตอนนี้

สร้างลิงก์ที่ป้องกันด้วยรหัสผ่าน บันทึกลับ และแชตที่เข้ารหัสได้ฟรี

เริ่มต้นใช้งานฟรี
วิธีแชร์ API Key และ Secret กับทีมอย่างปลอดภัย | LOCK.PUB Blog