Hacker News

Níorbh rúin iad eochracha Google API, ach ansin d'athraigh Gemini na rialacha

Tuairimí

18 min read Via trufflesecurity.com

Mewayz Team

Editorial Team

Hacker News

Nuair a Thiocfaidh "Poiblí de réir Dearaidh" ina Dhliteanas Slándála

Le beagnach dhá scór bliain, d'fhoghlaim forbróirí atá ag tógáil ar éiceachóras Google ceacht caolchúiseach ach tábhachtach: ní rúin i ndáiríre iad eochracha Google API. Má tá eochair YouTube Data API leabaithe agat i gcomhad JavaScript, ní raibh eagla ar Google. Má léirigh d’eochair Maps API i stór poiblí GitHub, ba shrug agus meabhrúchán chun srianta fearainn a shocrú a bhí sa fhreagra slándála go bunúsach. Tógadh an tsamhail ar fad ar an mbonn tuisceana go mbeadh na heochracha seo beo i gcód taobh an chliaint, go mbeadh siad nochta d'aon duine a d'oscail DevTools.

Bhí ciall leis an bhfealsúnacht sin le fada an lá. D'fhéadfadh eochair Maps API nochta gan srianta fearainn bille iontas a tharraingt suas, ach ní raibh sé chun dochar a dhéanamh do thaifid othar nó do chuntas bainc a dhraenáil. Bhí an ga soinneáin airgeadais agus inbhainistithe. Dearadh uirlisiú Google - srianta ar atreoraithe, liostáil IP, teorainneacha cuóta - chun an damáiste a choinneáil slán, agus chun nochtadh iomlán a chosc.

Ansin tháinig Cúpla, agus tháinig athrú ar na rialacha. Is í an fhadhb atá ann ná nach bhfuil an meamram faighte ag na milliúin forbróirí.

An tSamhail Oidhreacht Meabhair-Ghalar a Dhó Forbróirí Anois

Bhí sean-eispéireas an fhorbróra Google ceadaitheach d'aon ghnó. Nuair a chruthaigh tú eochair Maps JavaScript API, spreag an doiciméadú go praiticiúil duit é a scaoileadh go díreach isteach i do HTML. Ní rúndacht a bhí sa tsamhail slándála - srianta a bhí ann. Dhéanfá eochair d’fhearainn a ghlasáil, foláirimh chuóta a shocrú agus dul ar aghaidh. Innealtóireacht phragmatach a bhí anseo: ní féidir le feidhmchláir ar thaobh an chliaint rúin a choinneáil ó úsáideoirí diongbháilte, agus mar sin chruthaigh Google córas a d’admhaigh an réaltacht sin.

Chruthaigh sé seo glúin forbróirí - agus níos tábhachtaí fós, glúin de nósanna institiúideacha - áit a raibh catagóir mheabhrach difriúil ag eochracha Google API seachas, abair, eochair rúnda Stripe nó dintiúir rochtana AWS. Ní ghreamódh tú d'eochair rúnda Stripe isteach i repo poiblí. Ach d'eochair Léarscáileanna? Ba luach cumraíochta é sin go praiticiúil, ní rún. Stóráil go leor foirne iad i gcomhaid cumraíochta poiblí, comhaid README, fiú in athróga timpeallachta ar thaobh an chliaint arna réamhshocrú le NEXT_PUBLIC_REACT_APP_ gan an dara smaoineamh.

D’fhoghlaim taighdeoirí slándála ag scanadh GitHub le haghaidh dintiúirí nochta conas déileáil le heochair API Google ar bhealach difriúil freisin. Toradh ar dhéine íseal a bhí in eochair Léarscáileanna sceite. Is comhrá iomlán difriúil é eochair Gemini a sceitheadh.

Cad a d'athraigh le Gemini - agus Cén Fáth a dTábhacht atá sé

Ní leanann Google's Gemini API an seanleabhar súgartha. Nuair a ghineann tú eochair Gemini API trí Google AI Studio, tá tú ag cruthú dintiúir le próifíl riosca atá difriúil go bunúsach ná eochair Léarscáileanna nó YouTube. Fíordheimhníonn Gemini Keys rochtain ar thátal mórshamhail teanga — seirbhís a chosnaíonn fíor-acmhainní ríomha Google agus a chuireann billeáil chugat leis an comhartha, ní trí amharc an leathanaigh.

Níos tábhachtaí fós, níl na meicníochtaí srianta fearainn ionsuite céanna ag eochracha Gemini API a d'fhág gur féidir eochracha Google eile a nochtadh. Níl aon smacht simplí "glas é seo d'fhearann mo shuíomh Gréasáin" a chuirfeadh cosc ar ionsaitheoir a d'aimsigh d'eochair i stór poiblí a bhfeidhmchlár féin a shníomh agus do chuóta - nó do theorainn bhilleála - a ithe ó fhreastalaí i dtír eile.

Ní cúrsaí airgeadais amháin an chontúirt. Is féidir eochair Gemini nochta a úsáid chun inneachar díobhálach a ghiniúint, chun ionsaithe pras instealladh a dhéanamh, nó chun uirlisí a chruthú a sháraíonn téarmaí seirbhíse Google - iad seo ar fad billeála chuig do chuntas agus inrianaithe ar ais chuig d'aitheantas.

In 2024, d’aithin taighdeoirí slándála na mílte eochracha Gemini API nochta ar GitHub amháin, go leor acu i stórtha a raibh eochracha Google API eile ina n-óstach orthu gan eachtra. Ní raibh na forbróirí a bheith meargánta ag a gcaighdeáin stairiúla féin - bhí siad ag cur i bhfeidhm samhail mheabhrach a d'oiligh Google iad féin le húsáid. D'athraigh an timpeallacht níos tapúla ná mar a d'athraigh na nósanna.

Anatamaíocht Nochta Thaisme

Is é an chéad chéim chun iad a chosc a thuiscint conas a tharlaíonn na neamhchosaintí seo. Tá na modhanna teipe thar a bheith comhsheasmhach thar fhoirne de gach méid:

  • Mírangú athróg comhshaoil: Forbróirí a úsáidtear chun eochracha Google Maps a réamhshocrú d'eochracha Gemini le NEXT_PUBLIC_VITE_, agus iad á nochtadh láithreach i gcód cuachta taobh an chliaint.
  • Éilliú staire stórtha: Cuirtear eochair le comhad cumraíochta, tiomnaithe, bainte ansin - ach fanann an stair git inchuardaithe ar feadh tréimhse éiginnte. Úsáideann ionsaitheoirí uirlisí amhail truffleHog agus gitleaks chun an stair seo a mhiannú go sonrach.
  • Sceitheadh leabhair nótaí agus fhréamhshamhail: Déanann eolaithe sonraí atá ag fréamhshamhlú comhtháthú Gemini i leabhair nótaí Jupyter na leabhair nótaí sin a bhrú chuig GitHub le heochracha leabaithe in aschuir chill.
  • Míchumrú CI/CD: Déantar macalla de thimpiste ar eochracha arna stóráil mar rúin taisclainne i logaí tógála atá le feiceáil go poiblí ar GitHub Actions nó ardáin chomhchosúla.
  • Sraoilleáil seirbhíse tríú páirtí: Déanann forbróirí eochracha a ghreamú isteach i ndeaiseanna anailíse, in uirlisí gan chóid, nó in ardáin chomhtháthaithe gan athbhreithniú a dhéanamh ar staidiúir slándála na n-ardán sin.
  • Cainéil chumarsáide foirne: Tagann na heochracha a roinntear thar Slack, Discord, nó ríomhphoist i stair teachtaireachtaí inchuardaithe a sháraíonn an sceideal rothlaithe.

Ní faillí é an snáithe coitianta - is é an titim comhthéacs é. Tá iompraíochtaí a bhí sábháilte i gcomhthéacs amháin (forbairt Google Maps) contúirteach i gcomhthéacs eile (forbairt Gemini), agus is furasta an t-idirdhealú a dhéanamh de bharr cosúlacht amhairc na ndintiúir.

Cultúr Bainistíochta Rúin a Thógáil a Scálaíonn

Is feidhm úsáideach é an cás Gemini chun rud éigin a bhfuil go leor foirne forbartha á chur siar: bonneagar bainistíochta rúin iarbhír a thógáil seachas cuir chuige ad hoc. I gcás foirne beaga, b’fhéidir gur ró-innealtóireacht a bheadh i gceist leis seo, ach sáraíonn an costas a bhaineann le nochtadh creidiúna — calaois bhilleála, fionraí cuntais, fógraí um shárú sonraí — go mór an iarracht an ceart seo a dhéanamh.

Leanann bainistíocht rúin nua-aimseartha cur chuige srathach. Ag leibhéal an bhonneagair, soláthraíonn uirlisí ar nós HashiCorp Vault, Bainisteoir Rúin AWS, nó Bainisteoir Rúnda Google stóráil iniúchtha láraithe in-iniúchta le cumais uainíochta uathoibríoch. Ní le haghaidh gnóthais mhóra amháin iad seo - tugann seirbhísí cosúil le Doppler agus Infisical na patrúin céanna d'fhoirne de bheirt nó de thriúr forbróirí ag pointí praghais inrochtana.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Ag leibhéal an chóid, tá an smacht níos simplí: ní thagann dintiúir i dteagmháil le cód foinse. Stop iomlán. Ní i línte a bhfuil trácht orthu, ní i gcomhaid shamplacha, ná i bhfeistis tástála a bhfuil luachanna bréige acu a bhíonn fíor. Réamhcheangail crúcaí a ritheann uirlisí ar nós detect-secretsgitleaks sáruithe a ghabháil sula sroicheann siad stórtha cianda. Tógann na crúcaí seo nóiméid chun d'imní maidir le freagairt teagmhais a chumrú agus blianta fada saor.

I gcás eagraíochtaí a bhfuil stoic oibríochtúla casta á rith acu - ag bainistiú gach rud ó shreafaí oibre CRM go comhtháthaithe párolla go córais áirithinte atá dírithe ar chustaiméirí - éiríonn bainistíocht creidiúnachta láraithe níos tábhachtaí fós. Tógtar ardáin mar Mewayz, a aontaíonn 207 modúl gnó faoi scáth oibríochta amháin, leis an bprionsabal seo mar chroílár: déantar dintiúir agus comhtháthú API a bhainistiú ag leibhéal an ardáin, agus ní scaipthe ar fud modúil aonair nó timpeallachtaí forbróirí aonair. Nuair is gá eochair a rothlú, tarlaíonn sé uair amháin, in aon áit amháin, ní thar sheacht gcinn déag de phointe lánpháirtithe.

An Veicteoir Ionsaithe Billeála: Samhail Bagairt Gannmheasta ag Forbróirí

Is minic a dhíríonn plé ar shlándáil ar sháruithe ar shonraí agus ar rochtain neamhúdaraithe. Cuireann fadhb nochta Gemini leis an tríú samhail bhagairt a bhfuil aird chomhionann tuillte aige: calaois bhilleála ar scála.

Tá tátal na samhla móra teanga costasach. Comharthaí próisis GPT-4 agus Gemini Ultra ag codáin cent an ceann, ach de réir scála - na mílte iarratas, na milliúin comharthaí - suimíonn na codáin sin suas go dtí na mílte dollar go han-tapa. Ní gá go dteastaíonn do shonraí ó ionsaitheoirí a fhaigheann amach eochracha AI API nochta. Tá siad ag iarraidh ríomhaire saor in aisce,. Bainfidh siad úsáid as do chuid faisnéise chun a gcuid seirbhísí AI féin a rith, cumas tátail a athdhíol, nó tástáil struis a dhéanamh ar a bhfeidhmchláir - fad is a théann an bille chugat.

Rinne forbróir amháin doiciméadú go bhfuil sé tar éis bille $23,000 a dhúiseacht ó eochair Gemini a nochtar i stór poiblí ar feadh níos lú ná sé huaire an chloig. Rinne an t-ionsaitheoir an saothrú a uathoibriú láithreach, ag rith tascanna giniúna ard-thréchuir go leanúnach go dtí gur ghlac braite calaoise Google é. Ar deireadh thiar fuair an forbróir na táillí a fhreaschur tar éis próiseas fada díospóide, ach cuireadh an cuntas ar fionraí le linn na tréimhse sin, ag tógáil seirbhísí táirgeachta anuas leis.

Is é seo an fáth nach ionadaíonn foláirimh bhilleála ná teorainneacha cuótaí do bhainistiú ceart rúin - is líne chosanta deiridh iad a bhfuil súil agat nach mbeidh uait riamh. Is geall le táblaí anois teorainneacha caiteachais mhíosúla crua a shocrú ar chuntais AI API, ach tá an chosaint cheart ag cinntiú nach sceithfidh na dintiúir sin ar an gcéad dul síos.

Céimeanna Praiticiúla d'Fhoirne a Dhéanann an Idirbhliain

Má tá d'fhoireann ag tógáil comhtháthú API Google faoin seanmhúnla meabhrach agus má tá Gemini á cur leis an gcruach anois, seo duit seicliosta réalaíoch leasúcháin:

  1. Déan iniúchadh láithreach ar na stórtha atá ann cheana féin. Rith truffleHoggitleaks i gcoinne do staire git iomlán, ní hamháin an HEAD reatha. Dírigh go háirithe ar stór ar bith ar úsáideadh eochair Google API san am a chuaigh thart.
  2. Rothlaigh gach eochair nochta. Má tháinig eochair Gemini riamh i dtiomantas, glac leis go bhfuil sí i gcontúirt. Déan é a chúlghairm agus ceann nua a ghiniúint. Ná déan iarracht a mheas cé acu an bhfuair éinne "i ndáiríre" é.
  3. Cuir an scanadh réamhgheallta i bhfeidhm. Suiteáil crúcaí braite rúnda ar mheaisín gach forbróra agus i bpíblínte CI/CD mar gheata do sheachbhóthar.
  4. Bunaigh fardal eochrach. Bíodh a fhios agat cé na seirbhísí a bhfuil na dintiúir acu, cé leis iad, cathain a rothlaíodh iad an uair dheireanach, agus cá háit a n-úsáidtear iad. Is pointe tosaigh maith é scarbhileog; is é bainisteoir rúin an ceann scríbe.
  5. Socraigh foláirimh bhilleála agus teorainneacha crua. Ar gach cuntas AI API, cumraigh foláirimh ag 50% agus 80% de do chaiteachas míosúil ionchasach, agus socraigh teorainneacha crua a chuirfeadh cosc ar imeachtaí billeála tubaisteach.
  6. Cáipéisigh an tsamhail mheabhrach nua go sainráite. Nuashonraigh ábhar bordála d'fhoirne agus lámhleabhar innealtóireachta chun a rá go soiléir gur dintiúir ard-íogaireachta iad eochracha Gemini API a éilíonn an chóir chéanna a chur ar rúin próiseálaí íocaíochta.

An Ceacht Níos Leithne do Ghnólachtaí Ardán-Cleithiúnaí

Léiríonn staid Gemini patrún a théann i bhfeidhm ar aon ghnó atá lán-chomhtháite le hardáin tríú páirtí: athraíonn na hardáin, agus athraíonn na riachtanais staidiúir slándála leo, ach is minic nach mbíonn nósanna institiúideacha na bhfoirne a úsáideann na hardáin sin ag teacht chun cinn. Tá an rud a bhí sábháilte inné contúirteach inniu, agus tá an bhearna idir an dá stát sin ina dtarlaíonn sáruithe.

Tá sé seo fíor-ghéar do ghnólachtaí a bhfuil stoic oibríochta casta á rith acu. D’fhéadfadh comhtháthú Gemini a bheith ag cuideachta a úsáideann gnéithe faoi thiomáint AI thar sheirbhís do chustaiméirí, anailísíocht, giniúint ábhar, agus moltaí táirge i dosaen comhthéacsanna éagsúla - gach ceann acu mar phointe nochta féideartha má láimhseáiltear dintiúir ar bhealach neamhréireach. Ní hamháin gur fearr nósanna forbróra aonair an réiteach; tá sé ailtireachta. Ní mór rochtain dhintiúir a lárú, a iniúchadh agus a rialú ag leibhéal an ardáin.

Déantar córais oibriúcháin ghnó nua-aimseartha a dhearadh níos mó agus é seo san áireamh. Nuair a chomhtháthaíonn Mewayz cumais AI trasna a shraith - ó shreafaí oibre Chliste CRM go hanailísíocht uathoibrithe ina éiceachóras 207-modúl - láimhseáiltear bainistíocht inchreidte ag an gciseal bonneagair, ní ag ciseal an fheidhmchláir. Ní láimhseálann forbróirí modúl aonair eochracha API amh; rochtain siad cumais trí sraitheanna astarraingthe a fhorfheidhmíonn beartais uainíochta, rochtain iniúchta, agus teorainn ga soinneáin má théann rud éigin mícheart. Is é seo an ailtireacht a éilíonn ré na Gemini: ní hamháin nósanna níos fearr, ach córais níos fearr a fhágann gurb é an nós ceart an t-aon rogha atá ar fáil.

Ní dhearna Google botún agus samhail eochair API cheadaithe á thógáil do Maps agus YouTube. Bhí an tsamhail sin oiriúnach do na seirbhísí sin. Ach de réir mar a thagann athrú suntasach ar chumais agus ar phróifílí costais na n-API - agus toisc gurb é AI APIs an pointe infhillte is géire san éabhlóid sin b'fhéidir - ní mór don tionscal ar fad a chuid mainneachtainí a athshocrú. Ní hiad na forbróirí a n-éireoidh leo sa timpeallacht seo iad siúd a d'fhoghlaim na seanrialacha is fearr, ach iad siúd a aithníonn go bhfuil athrú bunúsach tagtha ar na rialacha.

Ceisteanna Coitianta

Cén fáth ar measadh go stairiúil go raibh sé sábháilte eochracha Google API a nochtadh go poiblí?

Dhear Google go leor dá APInna — Léarscáileanna, YouTube, Áiteanna — le húsáid ar thaobh an chliaint, rud a chiallaíonn go raibh eochracha leabaithe d’aon ghnó sa chód tosaigh a bhí le feiceáil ag aon duine. Bhí an tsamhail slándála ag brath ar shrianta úsáide amhail liostaí ceadaithe fearainn agus seiceálacha atreoraithe seachas eochair-rúnda. Ar feadh na mblianta, measadh gur saincheist chumraíochta í eochair nochta, ní leochaileacht chriticiúil a éilíonn rothlú láithreach.

Cad a d'athraigh nuair a thug Google isteach eochracha Gemini API?

Murab ionann agus APIs Google oidhreachta, feidhmíonn eochracha Gemini API níos mó cosúil le rúin thraidisiúnta - má nochtar ceann d'fhéadfadh go mbeadh táillí neamhúdaraithe ar do chuntas billeála, mí-úsáid múnla, nó ídiú cuóta gan aon srian fearainn ionsuite chun tú a shábháil. Ciallaíonn an t-athrú go gcaithfidh forbróirí anois caitheamh le heochracha Gemini leis an smacht céanna le dintiúir AWS nó eochracha rúnda Stripe, á stóráil ar thaobh an fhreastalaí agus gan iad a bheith i gcód aghaidh an chliaint.

Conas is ceart d'fhorbróirí eochracha API do sheirbhísí AI a bhainistiú go slán inniu?

Is é an cleachtas is fearr ná gach eochair AI API a stóráil mar athróga timpeallachta ar an bhfreastalaí, riamh i gcomhaid atá rialaithe ag leagan ná i mbearta cliant. Bain úsáid as bainisteoir rúin, rothlaigh eochracha go rialta, agus socraigh teorainneacha caiteachais ag leibhéal an tsoláthraí. Láimhseálann ardáin cosúil le Mewayz - OS gnó 207-modúl ar $19/mo atá ar fáil ag app.mewayz.com - bainistíocht inchreidte API laistigh dá mbonneagar ionas nach mbeidh foirne ag juggling eochracha trasna seirbhísí de láimh.

Cad ba cheart dom a dhéanamh má tá eochair Gemini API nochtaithe agam cheana féin?

Déan an eochair chontúirte a chúlghairm láithreach trí Google Cloud Console agus gin ceann eile sula ndéanfaidh tú aon rud eile. Déan iniúchadh ar do dheais bhilleála le haghaidh spící úsáide gan choinne a d'fhéadfadh a léiriú gur baineadh an eochair. Ansin athbhreithnigh do bhunachar cód, athróga timpeallachta CI/CD, agus aon stórtha poiblí le haghaidh dintiúirí sceite eile. Déan an teagmhas a chóireáil mar a dhéanfá aon fhaisnéis íocaíochta nochta - glac leis go bhfuarthas é agus gníomhaigh dá réir.