So sichern Sie Ihre Umgebungsvariablen und Geheimnisse
KI-gebaute Apps leaken regelmäßig Geheimnisse, indem sie sie in clientseitige Umgebungsvariablen legen, .env-Dateien committen oder sie im Bundle offenlegen. Alles im Browser ist öffentlich – Geheimnisse dürfen nur serverseitig leben.
Schritt für Schritt
- 1
Wissen Sie, welche Variablen öffentlich sind
Präfixe wie NEXT_PUBLIC_, VITE_ oder REACT_APP_ werden an den Browser ausgeliefert. Legen Sie niemals ein echtes Geheimnis hinter ein öffentliches Präfix – nur nicht-sensible Konfiguration.
- 2
Halten Sie Geheimnisse serverseitig
Speichern Sie API-Geheimnisse, Service-Role-Schlüssel und Tokens in serverseitigen Umgebungsvariablen und greifen Sie nur aus Server-Code oder serverlosen Funktionen darauf zu.
- 3
Ignorieren und bereinigen Sie .env-Dateien
Fügen Sie .env und .env*.local zur .gitignore hinzu. Wurde je ein Geheimnis committet, rotieren Sie es und entfernen Sie es aus der git-Historie – sonst bleibt es in alten Commits erhalten.
- 4
Scannen und verifizieren Sie
Scannen Sie Ihr deploytes Bundle und Ihr Repository auf exponierte Schlüssel und rotieren Sie alles, was geleakt ist.
Wollen Sie es verifiziert, nicht nur behoben?
Die Behebung ist der erste Schritt. Eine ClearedToShip-Prüfung bestätigt, dass die Korrektur tatsächlich hält, und gibt Ihnen eine unterschriebene, versicherte Freigabe zum Launch. Sichern Sie sich Early Access: