Hoe voorkom je dat je credentials op GitHub belanden?

Het is een van de meest voorkomende fouten bij mensen die met AI bouwen: de API-sleutel staat gewoon in de code. Ergens in een bestand, soms diep weggestopt, soms gewoon bovenaan. En dan gaat alles op GitHub.

Binnen minuten scannen bots publieke repositories op precies dit soort strings. Stripe-sleutels, OpenAI-credits, database-wachtwoorden. Ze worden gevonden en misbruikt voordat jij de notificatie hebt gezien.

Gebruik een .env-bestand

De oplossing is simpel: zet gevoelige gegevens in een .env-bestand. Dat is een tekstbestand in de root van je project met regels als:

OPENAI_API_KEY=sk-...
DATABASE_URL=postgres://...

In je code verwijs je dan naar process.env.OPENAI_API_KEY in plaats van de sleutel zelf. De sleutel staat nooit in je code, alleen in dat bestand.

Voeg .env toe aan .gitignore

Een .env-bestand helpt niks als je het toch naar GitHub pusht. Zorg dat je .gitignore-bestand de regel .env bevat. Dan slaat Git het bestand over.

Controleer ook of er .env.local, .env.production of vergelijkbare varianten zijn. Die moeten ook in .gitignore.

Gebruik git-secrets als extra vangnet

Het hulpprogramma git-secrets scant je commits op bekende patronen van API-sleutels voordat je ze kunt pushen. Een extra slot op de deur. Installatie is eenvoudig via Homebrew of npm.

Als het al te laat is

Heb je al een sleutel gepusht? Doe dit direct:

1. Roteer de sleutel: genereer een nieuwe sleutel bij de betreffende dienst en zet de oude op inactief
2. Verwijder de sleutel uit je git-geschiedenis: dit is technisch maar noodzakelijk (gebruik git filter-repo)
3. Controleer je gebruik: kijk bij de dienst of de sleutel al misbruikt is

De sleutel uit je code halen en opnieuw pushen is niet genoeg. De oude versie staat nog steeds in de git-geschiedenis.

---

Wil je zeker weten dat er geen gevoelige gegevens in jouw codebase of repository sluipen? We kijken het voor je na.