Безопасность за 2 минуты

Четыре простых правила, чтобы не попасть в неприятности. Ничего сложного.

Когда ты создаёшь проект с AI-агентом, у тебя появляются "пароли для программ" -- ключи доступа к сервисам (Stripe, OpenAI, база данных). Их нужно хранить правильно. Это как PIN-код от банковской карты -- работает, но показывать никому нельзя.

security_01 - Пароли в сейф

1. Пароли и ключи -- в файл .env

Когда агент создаёт проект, появляются ключи доступа -- к платёжным системам, AI-моделям, базам данных. Их нельзя писать прямо в код. Для них есть специальный файл .env -- он как сейф, который не публикуется в интернет.

Вот как выглядит файл .env:

# Это файл .env -- здесь хранятся секреты # Каждая строка: НАЗВАНИЕ=значение OPENAI_API_KEY=sk-abc123xyz456... DATABASE_URL=postgres://user:pass@host/db STRIPE_SECRET=sk_live_abc123...

Плохо: ключ прямо в коде const apiKey = "sk-abc123xyz456..."

Хорошо: ключ берётся из .env const apiKey = process.env.OPENAI_API_KEY

security_02 - .env не публикуется

2. Файл .env остаётся на твоём компьютере

Когда ты выкладываешь проект на GitHub или деплоишь на Vercel -- файл .env не загружается. Он остаётся только у тебя. За это отвечает файл .gitignore -- это как список "не отправлять".

Проверь что в файле .gitignore есть строка:

.env .env.local .env.*.local

На Vercel/Railway ключи вводятся отдельно, в настройках сервиса -- в разделе "Environment Variables". Это безопасно: они хранятся на сервере, а не в коде.

security_03 - Ключ утёк

3. Что делать если ключ случайно попал в интернет

Такое бывает -- не паникуй. Действуй быстро:

Шаг 1. Зайди в настройки сервиса (OpenAI, Stripe, и т.д.) и создай новый ключ. Старый удали -- он сразу перестанет работать.

Шаг 2. Обнови .env файл с новым ключом.

Шаг 3. Проверь .gitignore -- добавь .env если его там нет.

Скорость важна: боты сканируют GitHub и находят утёкшие ключи за минуты. Чем быстрее заменишь -- тем меньше риск.

security_04 - Агент поможет

4. Агент проверит за тебя

Не нужно запоминать все правила. Просто скажи агенту:

"Проверь что в проекте нет паролей и ключей в открытом виде"

Он просканирует все файлы, найдёт подозрительные строки (ключи, токены, пароли) и предложит перенести их в .env. Также проверит что .gitignore настроен правильно.

Можно попросить при каждом сохранении:
"Перед коммитом всегда проверяй что нет секретов в коде"

Главное правило

Если сомневаешься -- спроси агента. Он знает правила безопасности лучше тебя и применит их автоматически. Твоя задача -- не класть ключи в код руками и не делиться файлом .env.