Hacker News

Google API ਕੁੰਜੀਆਂ ਗੁਪਤ ਨਹੀਂ ਸਨ, ਪਰ ਫਿਰ ਜੇਮਿਨੀ ਨੇ ਨਿਯਮਾਂ ਨੂੰ ਬਦਲ ਦਿੱਤਾ

ਟਿੱਪਣੀਆਂ

2 min read Via trufflesecurity.com

Mewayz Team

Editorial Team

Hacker News

ਜਦੋਂ "ਡਿਜ਼ਾਇਨ ਦੁਆਰਾ ਜਨਤਕ" ਇੱਕ ਸੁਰੱਖਿਆ ਦੇਣਦਾਰੀ ਬਣ ਜਾਂਦੀ ਹੈ

ਲਗਭਗ ਦੋ ਦਹਾਕਿਆਂ ਤੋਂ, ਗੂਗਲ ਦੇ ਈਕੋਸਿਸਟਮ ਨੂੰ ਬਣਾਉਣ ਵਾਲੇ ਡਿਵੈਲਪਰਾਂ ਨੇ ਇੱਕ ਸੂਖਮ ਪਰ ਮਹੱਤਵਪੂਰਨ ਸਬਕ ਸਿੱਖਿਆ: Google API ਕੁੰਜੀਆਂ ਅਸਲ ਵਿੱਚ ਰਾਜ਼ ਨਹੀਂ ਹਨ। ਜੇਕਰ ਤੁਸੀਂ JavaScript ਫ਼ਾਈਲ ਵਿੱਚ ਇੱਕ YouTube Data API ਕੁੰਜੀ ਨੂੰ ਏਮਬੈਡ ਕੀਤਾ ਹੈ, ਤਾਂ Google ਘਬਰਾਇਆ ਨਹੀਂ ਗਿਆ ਸੀ। ਜੇਕਰ ਤੁਹਾਡੀ ਨਕਸ਼ੇ API ਕੁੰਜੀ ਇੱਕ ਜਨਤਕ GitHub ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ, ਤਾਂ ਸੁਰੱਖਿਆ ਪ੍ਰਤੀਕਿਰਿਆ ਜ਼ਰੂਰੀ ਤੌਰ 'ਤੇ ਡੋਮੇਨ ਪਾਬੰਦੀਆਂ ਨੂੰ ਸੈਟ ਕਰਨ ਲਈ ਇੱਕ ਸੰਕੋਚ ਅਤੇ ਇੱਕ ਰੀਮਾਈਂਡਰ ਸੀ। ਪੂਰਾ ਮਾਡਲ ਇਸ ਧਾਰਨਾ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਬਣਾਇਆ ਗਿਆ ਸੀ ਕਿ ਇਹ ਕੁੰਜੀਆਂ ਕਲਾਇੰਟ-ਸਾਈਡ ਕੋਡ ਵਿੱਚ ਰਹਿਣਗੀਆਂ, ਜਿਸ ਨੇ DevTools ਨੂੰ ਖੋਲ੍ਹਿਆ ਹੈ।

ਉਸ ਫ਼ਲਸਫ਼ੇ ਨੇ ਲੰਬੇ ਸਮੇਂ ਲਈ ਸਮਝਦਾਰੀ ਕੀਤੀ। ਡੋਮੇਨ ਪਾਬੰਦੀਆਂ ਤੋਂ ਬਿਨਾਂ ਸਾਹਮਣੇ ਆਈ ਇੱਕ Maps API ਕੁੰਜੀ ਇੱਕ ਹੈਰਾਨੀਜਨਕ ਬਿੱਲ ਨੂੰ ਰੈਕ ਕਰ ਸਕਦੀ ਹੈ, ਪਰ ਇਹ ਮਰੀਜ਼ਾਂ ਦੇ ਰਿਕਾਰਡਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਜਾਂ ਬੈਂਕ ਖਾਤੇ ਨੂੰ ਖਤਮ ਕਰਨ ਵਾਲੀ ਨਹੀਂ ਸੀ। ਧਮਾਕੇ ਦਾ ਘੇਰਾ ਵਿੱਤੀ ਅਤੇ ਪ੍ਰਬੰਧਨਯੋਗ ਸੀ। Google ਦੀ ਟੂਲਿੰਗ — ਰੈਫਰਰ ਪਾਬੰਦੀਆਂ, IP ਵਾਈਟਲਿਸਟਿੰਗ, ਕੋਟਾ ਸੀਮਾਵਾਂ — ਨੂੰ ਨੁਕਸਾਨ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ, ਨਾ ਕਿ ਪੂਰੀ ਤਰ੍ਹਾਂ ਐਕਸਪੋਜਰ ਨੂੰ ਰੋਕਣ ਲਈ।

ਫਿਰ ਜੇਮਿਨੀ ਆ ਗਿਆ, ਅਤੇ ਨਿਯਮ ਬਦਲ ਗਏ। ਸਮੱਸਿਆ ਇਹ ਹੈ ਕਿ ਲੱਖਾਂ ਡਿਵੈਲਪਰਾਂ ਨੇ ਮੀਮੋ ਪ੍ਰਾਪਤ ਨਹੀਂ ਕੀਤਾ ਹੈ।

ਪੁਰਾਣਾ ਮਾਨਸਿਕ ਮਾਡਲ ਜੋ ਹੁਣ ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਸਾੜ ਰਿਹਾ ਹੈ

ਪੁਰਾਣਾ Google ਵਿਕਾਸਕਾਰ ਅਨੁਭਵ ਜਾਣਬੁੱਝ ਕੇ ਮਨਜ਼ੂਰ ਸੀ। ਜਦੋਂ ਤੁਸੀਂ ਇੱਕ Maps JavaScript API ਕੁੰਜੀ ਬਣਾਈ ਸੀ, ਤਾਂ ਦਸਤਾਵੇਜ਼ਾਂ ਨੇ ਅਮਲੀ ਤੌਰ 'ਤੇ ਤੁਹਾਨੂੰ ਇਸਨੂੰ ਸਿੱਧੇ ਆਪਣੇ HTML ਵਿੱਚ ਸੁੱਟਣ ਲਈ ਉਤਸ਼ਾਹਿਤ ਕੀਤਾ। ਸੁਰੱਖਿਆ ਮਾਡਲ ਗੁਪਤਤਾ ਨਹੀਂ ਸੀ - ਇਹ ਪਾਬੰਦੀ ਸੀ। ਤੁਸੀਂ ਆਪਣੇ ਡੋਮੇਨ ਦੀ ਕੁੰਜੀ ਨੂੰ ਲਾਕ ਕਰੋਗੇ, ਕੋਟਾ ਅਲਰਟ ਸੈਟ ਕਰੋਗੇ, ਅਤੇ ਅੱਗੇ ਵਧੋਗੇ। ਇਹ ਵਿਹਾਰਕ ਇੰਜਨੀਅਰਿੰਗ ਸੀ: ਕਲਾਇੰਟ-ਸਾਈਡ ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਸਲ ਵਿੱਚ ਨਿਸ਼ਚਤ ਉਪਭੋਗਤਾਵਾਂ ਤੋਂ ਗੁਪਤ ਨਹੀਂ ਰੱਖ ਸਕਦੀਆਂ, ਇਸਲਈ Google ਨੇ ਇੱਕ ਅਜਿਹਾ ਸਿਸਟਮ ਬਣਾਇਆ ਜੋ ਉਸ ਅਸਲੀਅਤ ਨੂੰ ਸਵੀਕਾਰ ਕਰਦਾ ਹੈ।

ਇਸ ਨਾਲ ਡਿਵੈਲਪਰਾਂ ਦੀ ਇੱਕ ਪੀੜ੍ਹੀ — ਅਤੇ ਹੋਰ ਵੀ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ, ਸੰਸਥਾਗਤ ਆਦਤਾਂ ਦੀ ਇੱਕ ਪੀੜ੍ਹੀ — ਜਿੱਥੇ Google API ਕੁੰਜੀਆਂ ਨੇ ਇੱਕ ਸਟ੍ਰਾਈਪ ਸੀਕ੍ਰੇਟ ਕੁੰਜੀ ਜਾਂ AWS ਐਕਸੈਸ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਨਾਲੋਂ ਵੱਖਰੀ ਮਾਨਸਿਕ ਸ਼੍ਰੇਣੀ ਵਿੱਚ ਕਬਜ਼ਾ ਕੀਤਾ ਹੈ। ਤੁਸੀਂ ਆਪਣੀ ਸਟ੍ਰਾਈਪ ਗੁਪਤ ਕੁੰਜੀ ਨੂੰ ਜਨਤਕ ਰੈਪੋ ਵਿੱਚ ਪੇਸਟ ਨਹੀਂ ਕਰੋਗੇ। ਪਰ ਤੁਹਾਡੀ ਨਕਸ਼ੇ ਕੁੰਜੀ? ਇਹ ਵਿਹਾਰਕ ਤੌਰ 'ਤੇ ਇੱਕ ਸੰਰਚਨਾ ਮੁੱਲ ਸੀ, ਨਾ ਕਿ ਇੱਕ ਗੁਪਤ. ਬਹੁਤ ਸਾਰੀਆਂ ਟੀਮਾਂ ਨੇ ਉਹਨਾਂ ਨੂੰ ਜਨਤਕ-ਸਾਹਮਣਾ ਵਾਲੀ ਸੰਰਚਨਾ ਫਾਈਲਾਂ, README ਫਾਈਲਾਂ ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ, ਇੱਥੋਂ ਤੱਕ ਕਿ ਕਲਾਇੰਟ-ਸਾਈਡ ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ ਵਿੱਚ ਵੀ NEXT_PUBLIC_ ਜਾਂ REACT_APP_ ਬਿਨਾਂ ਕੋਈ ਸੋਚਿਆ।

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ GitHub ਨੂੰ ਐਕਸਪੋਜ਼ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਲਈ ਸਕੈਨ ਕਰ ਰਹੇ Google API ਕੁੰਜੀਆਂ ਨੂੰ ਵੀ ਵੱਖਰੇ ਢੰਗ ਨਾਲ ਵਰਤਣਾ ਸਿੱਖਿਆ। ਇੱਕ ਲੀਕ ਹੋਈ ਨਕਸ਼ੇ ਕੁੰਜੀ ਇੱਕ ਘੱਟ ਤੀਬਰਤਾ ਵਾਲੀ ਖੋਜ ਸੀ। ਲੀਕ ਹੋਈ ਜੇਮਿਨੀ ਕੁੰਜੀ ਇੱਕ ਬਿਲਕੁਲ ਵੱਖਰੀ ਗੱਲਬਾਤ ਹੈ।

ਜੇਮਿਨੀ ਨਾਲ ਕੀ ਬਦਲਿਆ — ਅਤੇ ਇਹ ਮਾਇਨੇ ਕਿਉਂ ਰੱਖਦਾ ਹੈ

Google ਦਾ Gemini API ਪੁਰਾਣੀ ਪਲੇਬੁੱਕ ਦੀ ਪਾਲਣਾ ਨਹੀਂ ਕਰਦਾ ਹੈ। ਜਦੋਂ ਤੁਸੀਂ Google AI ਸਟੂਡੀਓ ਰਾਹੀਂ ਇੱਕ Gemini API ਕੁੰਜੀ ਬਣਾਉਂਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ Maps ਜਾਂ YouTube ਕੁੰਜੀ ਨਾਲੋਂ ਬੁਨਿਆਦੀ ਤੌਰ 'ਤੇ ਵੱਖਰੇ ਜੋਖਮ ਪ੍ਰੋਫਾਈਲ ਨਾਲ ਇੱਕ ਪ੍ਰਮਾਣ ਪੱਤਰ ਬਣਾ ਰਹੇ ਹੋ। ਜੈਮਿਨੀ ਕੁੰਜੀਆਂ ਵੱਡੇ ਭਾਸ਼ਾ ਮਾਡਲ ਅਨੁਮਾਨ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਦੀਆਂ ਹਨ — ਇੱਕ ਅਜਿਹੀ ਸੇਵਾ ਜੋ Google ਦੇ ਅਸਲ ਗਣਨਾ ਸਰੋਤਾਂ ਦੀ ਲਾਗਤ ਕਰਦੀ ਹੈ ਅਤੇ ਜੋ ਤੁਹਾਨੂੰ ਟੋਕਨ ਦੁਆਰਾ ਬਿਲ ਦਿੰਦੀ ਹੈ, ਨਾ ਕਿ ਪੇਜਵਿਊ ਦੁਆਰਾ।

ਵਧੇਰੇ ਗੰਭੀਰ ਤੌਰ 'ਤੇ, ਜੇਮਿਨੀ API ਕੁੰਜੀਆਂ ਵਿੱਚ ਉਹੀ ਬਿਲਟ-ਇਨ ਡੋਮੇਨ ਪਾਬੰਦੀ ਵਿਧੀ ਨਹੀਂ ਹੁੰਦੀ ਹੈ ਜਿਸ ਨੇ ਹੋਰ Google ਕੁੰਜੀਆਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੁੰਦਾ ਹੈ। ਇੱਥੇ ਕੋਈ ਸਧਾਰਨ "ਇਸ ਨੂੰ ਮੇਰੀ ਵੈੱਬਸਾਈਟ ਦੇ ਡੋਮੇਨ 'ਤੇ ਲਾਕ ਕਰੋ" ਨਿਯੰਤਰਣ ਨਹੀਂ ਹੈ ਜੋ ਕਿਸੇ ਹਮਲਾਵਰ ਨੂੰ ਕਿਸੇ ਜਨਤਕ ਭੰਡਾਰ ਵਿੱਚ ਤੁਹਾਡੀ ਕੁੰਜੀ ਨੂੰ ਆਪਣੀ ਖੁਦ ਦੀ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਸਪਿਨ ਕਰਨ ਅਤੇ ਤੁਹਾਡੇ ਕੋਟੇ — ਜਾਂ ਤੁਹਾਡੀ ਬਿਲਿੰਗ ਸੀਮਾ — ਨੂੰ ਕਿਸੇ ਹੋਰ ਦੇਸ਼ ਦੇ ਸਰਵਰ ਤੋਂ ਵਰਤਣ ਤੋਂ ਰੋਕਦਾ ਹੈ।

ਖ਼ਤਰਾ ਸਿਰਫ਼ ਵਿੱਤੀ ਹੀ ਨਹੀਂ ਹੈ। ਇੱਕ ਐਕਸਪੋਜ਼ਡ ਜੇਮਿਨੀ ਕੁੰਜੀ ਦੀ ਵਰਤੋਂ ਨੁਕਸਾਨਦੇਹ ਸਮੱਗਰੀ ਬਣਾਉਣ, ਤੁਰੰਤ ਟੀਕੇ ਲਗਾਉਣ ਦੇ ਹਮਲੇ ਕਰਨ, ਜਾਂ Google ਦੀਆਂ ਸੇਵਾ ਦੀਆਂ ਸ਼ਰਤਾਂ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਵਾਲੇ ਟੂਲ ਬਣਾਉਣ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ — ਸਭ ਦਾ ਬਿੱਲ ਤੁਹਾਡੇ ਖਾਤੇ ਵਿੱਚ ਲਿਆ ਜਾਂਦਾ ਹੈ ਅਤੇ ਤੁਹਾਡੀ ਪਛਾਣ ਨੂੰ ਵਾਪਸ ਲੱਭਿਆ ਜਾ ਸਕਦਾ ਹੈ।

2024 ਵਿੱਚ, ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਕੱਲੇ GitHub 'ਤੇ ਹਜ਼ਾਰਾਂ ਐਕਸਪੋਜ਼ਡ Gemini API ਕੁੰਜੀਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ, ਉਨ੍ਹਾਂ ਵਿੱਚੋਂ ਬਹੁਤ ਸਾਰੀਆਂ ਰਿਪੋਜ਼ਟਰੀਆਂ ਵਿੱਚ ਹਨ ਜਿਨ੍ਹਾਂ ਨੇ ਪਹਿਲਾਂ ਬਿਨਾਂ ਕਿਸੇ ਘਟਨਾ ਦੇ ਹੋਰ Google API ਕੁੰਜੀਆਂ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕੀਤੀ ਸੀ। ਡਿਵੈਲਪਰ ਆਪਣੇ ਇਤਿਹਾਸਕ ਮਾਪਦੰਡਾਂ ਦੁਆਰਾ ਲਾਪਰਵਾਹ ਨਹੀਂ ਸਨ - ਉਹ ਇੱਕ ਮਾਨਸਿਕ ਮਾਡਲ ਨੂੰ ਲਾਗੂ ਕਰ ਰਹੇ ਸਨ ਜਿਸਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਗੂਗਲ ਨੇ ਖੁਦ ਉਨ੍ਹਾਂ ਨੂੰ ਸਿਖਲਾਈ ਦਿੱਤੀ ਸੀ। ਵਾਤਾਵਰਣ ਆਦਤਾਂ ਨਾਲੋਂ ਤੇਜ਼ੀ ਨਾਲ ਬਦਲ ਗਿਆ।

ਐਕਸੀਡੈਂਟਲ ਐਕਸਪੋਜ਼ਰ ਦੀ ਐਨਾਟੋਮੀ

ਇਹ ਸਮਝਣਾ ਕਿ ਇਹ ਐਕਸਪੋਜ਼ਰ ਕਿਵੇਂ ਹੁੰਦੇ ਹਨ ਉਹਨਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਪਹਿਲਾ ਕਦਮ ਹੈ। ਅਸਫਲਤਾ ਮੋਡ ਸਾਰੇ ਆਕਾਰਾਂ ਦੀਆਂ ਟੀਮਾਂ ਵਿੱਚ ਕਮਾਲ ਦੇ ਅਨੁਕੂਲ ਹਨ:

  • ਵਾਤਾਵਰਣ ਪਰਿਵਰਤਨਸ਼ੀਲ ਗਲਤ ਵਰਗੀਕਰਨ: Google Maps ਕੁੰਜੀਆਂ ਨੂੰ NEXT_PUBLIC_ ਜਾਂ VITE_ ਨਾਲ ਅਗੇਤਰ ਬਣਾਉਣ ਵਾਲੇ ਵਿਕਾਸਕਾਰ, ਉਹਨਾਂ ਨੂੰ ਤੁਰੰਤ ਬੰਡਲਡ ਕਲਾਇੰਟ-ਸਾਈਡ ਕੋਡ ਵਿੱਚ ਪ੍ਰਗਟ ਕਰਦੇ ਹਨ।
  • ਰਿਪੋਜ਼ਟਰੀ ਹਿਸਟਰੀ ਕੰਟੈਮੀਨੇਸ਼ਨ: ਇੱਕ ਸੰਰਚਨਾ ਫਾਈਲ ਵਿੱਚ ਇੱਕ ਕੁੰਜੀ ਜੋੜੀ ਜਾਂਦੀ ਹੈ, ਵਚਨਬੱਧ, ਫਿਰ ਹਟਾ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ — ਪਰ ਗਿੱਟ ਇਤਿਹਾਸ ਅਣਮਿੱਥੇ ਸਮੇਂ ਲਈ ਖੋਜਣਯੋਗ ਰਹਿੰਦਾ ਹੈ। ਹਮਲਾਵਰ truffleHog ਅਤੇ gitleaks ਵਰਗੇ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਖਾਸ ਤੌਰ 'ਤੇ ਇਸ ਇਤਿਹਾਸ ਨੂੰ ਬਣਾਉਣ ਲਈ ਕਰਦੇ ਹਨ।
  • ਨੋਟਬੁੱਕ ਅਤੇ ਪ੍ਰੋਟੋਟਾਈਪ ਲੀਕੇਜ: ਜੁਪੀਟਰ ਨੋਟਬੁੱਕਾਂ ਵਿੱਚ ਜੈਮਿਨੀ ਏਕੀਕਰਣ ਦਾ ਪ੍ਰੋਟੋਟਾਈਪ ਕਰਨ ਵਾਲੇ ਡੇਟਾ ਵਿਗਿਆਨੀ ਉਹਨਾਂ ਨੋਟਬੁੱਕਾਂ ਨੂੰ ਸੈੱਲ ਆਉਟਪੁੱਟ ਵਿੱਚ ਏਮਬੇਡ ਕੀਤੀਆਂ ਕੁੰਜੀਆਂ ਨਾਲ GitHub ਵੱਲ ਧੱਕਦੇ ਹਨ।
  • CI/CD ਗਲਤ ਸੰਰਚਨਾ: ਰਿਪੋਜ਼ਟਰੀ ਸੀਕਰੇਟਸ ਦੇ ਰੂਪ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀਆਂ ਕੁੰਜੀਆਂ ਬਿਲਡ ਲੌਗਾਂ ਵਿੱਚ ਗਲਤੀ ਨਾਲ ਗੂੰਜਦੀਆਂ ਹਨ ਜੋ GitHub ਐਕਸ਼ਨ ਜਾਂ ਸਮਾਨ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਜਨਤਕ ਤੌਰ 'ਤੇ ਦਿਖਾਈ ਦਿੰਦੀਆਂ ਹਨ।
  • ਤੀਜੀ-ਧਿਰ ਦੀ ਸੇਵਾ ਦਾ ਫੈਲਾਅ: ਡਿਵੈਲਪਰ ਉਹਨਾਂ ਪਲੇਟਫਾਰਮਾਂ ਦੀਆਂ ਸੁਰੱਖਿਆ ਸਥਿਤੀਆਂ ਦੀ ਸਮੀਖਿਆ ਕੀਤੇ ਬਿਨਾਂ ਵਿਸ਼ਲੇਸ਼ਣ ਡੈਸ਼ਬੋਰਡਾਂ, ਨੋ-ਕੋਡ ਟੂਲਸ, ਜਾਂ ਏਕੀਕਰਣ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਕੁੰਜੀਆਂ ਪੇਸਟ ਕਰਦੇ ਹਨ।
  • ਟੀਮ ਸੰਚਾਰ ਚੈਨਲ: ਸਲੈਕ, ਡਿਸਕਾਰਡ, ਜਾਂ ਈਮੇਲ 'ਤੇ ਸਾਂਝੀਆਂ ਕੀਤੀਆਂ ਕੁੰਜੀਆਂ ਖੋਜਯੋਗ ਸੰਦੇਸ਼ ਇਤਿਹਾਸਾਂ ਵਿੱਚ ਖਤਮ ਹੁੰਦੀਆਂ ਹਨ ਜੋ ਰੋਟੇਸ਼ਨ ਅਨੁਸੂਚੀ ਤੋਂ ਬਾਹਰ ਰਹਿੰਦੀਆਂ ਹਨ।

ਸਾਧਾਰਨ ਧਾਗਾ ਲਾਪਰਵਾਹੀ ਨਹੀਂ ਹੈ - ਇਹ ਸੰਦਰਭ ਸਮੇਟਣਾ ਹੈ। ਉਹ ਵਿਵਹਾਰ ਜੋ ਇੱਕ ਸੰਦਰਭ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਸਨ (Google ਨਕਸ਼ੇ ਵਿਕਾਸ) ਦੂਜੇ ਵਿੱਚ ਖ਼ਤਰਨਾਕ ਹਨ (ਜੇਮਿਨੀ ਵਿਕਾਸ), ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਿਜ਼ੂਅਲ ਸਮਾਨਤਾ ਇਸ ਅੰਤਰ ਨੂੰ ਗੁਆਉਣੀ ਆਸਾਨ ਬਣਾਉਂਦੀ ਹੈ।

ਇੱਕ ਸੀਕਰੇਟ ਮੈਨੇਜਮੈਂਟ ਕਲਚਰ ਦਾ ਨਿਰਮਾਣ ਕਰਨਾ ਜੋ ਸਕੇਲ ਕਰਦਾ ਹੈ

ਜੇਮਿਨੀ ਸਥਿਤੀ ਉਸ ਚੀਜ਼ ਲਈ ਇੱਕ ਲਾਭਦਾਇਕ ਜ਼ਬਰਦਸਤੀ ਫੰਕਸ਼ਨ ਹੈ ਜਿਸ ਨੂੰ ਬਹੁਤ ਸਾਰੀਆਂ ਵਿਕਾਸ ਟੀਮਾਂ ਮੁਲਤਵੀ ਕਰ ਰਹੀਆਂ ਹਨ: ਐਡ-ਹਾਕ ਪਹੁੰਚ ਦੀ ਬਜਾਏ ਅਸਲ ਰਾਜ਼ ਪ੍ਰਬੰਧਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਨਿਰਮਾਣ ਕਰਨਾ। ਛੋਟੀਆਂ ਟੀਮਾਂ ਲਈ, ਇਹ ਓਵਰਇੰਜੀਨੀਅਰਿੰਗ ਵਰਗਾ ਮਹਿਸੂਸ ਹੋ ਸਕਦਾ ਹੈ, ਪਰ ਇੱਕ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਐਕਸਪੋਜ਼ਰ ਦੀ ਲਾਗਤ — ਬਿਲਿੰਗ ਧੋਖਾਧੜੀ, ਖਾਤਾ ਮੁਅੱਤਲ, ਡਾਟਾ ਉਲੰਘਣਾ ਸੂਚਨਾਵਾਂ — ਇਸ ਨੂੰ ਸਹੀ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਤੋਂ ਬਹੁਤ ਜ਼ਿਆਦਾ ਹੈ।

ਆਧੁਨਿਕ ਭੇਦ ਪ੍ਰਬੰਧਨ ਇੱਕ ਟਾਇਰਡ ਪਹੁੰਚ ਦਾ ਪਾਲਣ ਕਰਦਾ ਹੈ। ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਪੱਧਰ 'ਤੇ, HashiCorp Vault, AWS Secrets Manager, ਜਾਂ Google Secret Manager ਵਰਗੇ ਟੂਲ ਆਟੋਮੈਟਿਕ ਰੋਟੇਸ਼ਨ ਸਮਰੱਥਾਵਾਂ ਦੇ ਨਾਲ ਕੇਂਦਰੀਕ੍ਰਿਤ, ਆਡਿਟ ਕਰਨ ਯੋਗ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਸਟੋਰੇਜ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਇਹ ਸਿਰਫ਼ ਵੱਡੇ ਉਦਯੋਗਾਂ ਲਈ ਨਹੀਂ ਹਨ — ਡੌਪਲਰ ਅਤੇ ਇਨਫਿਜ਼ੀਕਲ ਵਰਗੀਆਂ ਸੇਵਾਵਾਂ ਪਹੁੰਚਯੋਗ ਕੀਮਤ ਬਿੰਦੂਆਂ 'ਤੇ ਦੋ ਜਾਂ ਤਿੰਨ ਡਿਵੈਲਪਰਾਂ ਦੀਆਂ ਟੀਮਾਂ ਲਈ ਇੱਕੋ ਜਿਹੇ ਪੈਟਰਨ ਲਿਆਉਂਦੀਆਂ ਹਨ।

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

ਕੋਡ ਪੱਧਰ 'ਤੇ, ਅਨੁਸ਼ਾਸਨ ਸਰਲ ਹੈ: ਪ੍ਰਮਾਣ ਪੱਤਰ ਕਦੇ ਵੀ ਸਰੋਤ ਕੋਡ ਨੂੰ ਨਹੀਂ ਛੂਹਦੇ ਹਨ। ਫੁਲ ਸਟਾਪ। ਟਿੱਪਣੀ-ਆਉਟ ਲਾਈਨਾਂ ਵਿੱਚ ਨਹੀਂ, ਉਦਾਹਰਨ ਫਾਈਲਾਂ ਵਿੱਚ ਨਹੀਂ, ਜਾਅਲੀ ਦਿੱਖ ਵਾਲੇ ਮੁੱਲਾਂ ਦੇ ਨਾਲ ਟੈਸਟ ਫਿਕਸਚਰ ਵਿੱਚ ਨਹੀਂ ਜੋ ਅਸਲੀ ਸਾਬਤ ਹੁੰਦੇ ਹਨ। ਰਿਮੋਟ ਰਿਪੋਜ਼ਟਰੀਆਂ ਤੱਕ ਪਹੁੰਚਣ ਤੋਂ ਪਹਿਲਾਂ ਹੀ ਡਿਟੈਕਟ-ਸੀਕ੍ਰੇਟਸ ਜਾਂ ਗਿਟਲੈਕਸ ਉਲੰਘਣਾਵਾਂ ਨੂੰ ਫੜਨ ਵਾਲੇ ਟੂਲਸ ਨੂੰ ਪ੍ਰੀ-ਕਮਿਟ ਕਰਦੇ ਹਨ। ਇਹ ਹੁੱਕਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ ਮਿੰਟ ਲੱਗਦੇ ਹਨ ਅਤੇ ਤੁਹਾਡੀ ਘਟਨਾ ਪ੍ਰਤੀਕਿਰਿਆ ਚਿੰਤਾ ਤੋਂ ਕਈ ਸਾਲ ਦੂਰ ਹੁੰਦੇ ਹਨ।

ਜਟਿਲ ਸੰਚਾਲਨ ਸਟੈਕ ਚਲਾਉਣ ਵਾਲੀਆਂ ਸੰਸਥਾਵਾਂ ਲਈ — CRM ਵਰਕਫਲੋ ਤੋਂ ਲੈ ਕੇ ਪੇਰੋਲ ਏਕੀਕਰਣ ਤੋਂ ਲੈ ਕੇ ਗਾਹਕਾਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨ ਵਾਲੇ ਬੁਕਿੰਗ ਪ੍ਰਣਾਲੀਆਂ ਤੱਕ ਹਰ ਚੀਜ਼ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨਾ — ਕੇਂਦਰੀਕ੍ਰਿਤ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਬੰਧਨ ਹੋਰ ਵੀ ਮਹੱਤਵਪੂਰਨ ਬਣ ਜਾਂਦਾ ਹੈ। ਪਲੇਟਫਾਰਮ ਜਿਵੇਂ ਕਿ Mewayz, ਜੋ ਕਿ 207 ਵਪਾਰਕ ਮਾਡਿਊਲਾਂ ਨੂੰ ਇੱਕ ਸਿੰਗਲ ਸੰਚਾਲਨ ਛੱਤਰੀ ਦੇ ਅਧੀਨ ਜੋੜਦਾ ਹੈ, ਨੂੰ ਉਹਨਾਂ ਦੇ ਮੂਲ ਵਿੱਚ ਇਸ ਸਿਧਾਂਤ ਨਾਲ ਬਣਾਇਆ ਗਿਆ ਹੈ: ਪ੍ਰਮਾਣ ਪੱਤਰ ਅਤੇ API ਏਕੀਕਰਣ ਪਲੇਟਫਾਰਮ ਪੱਧਰ 'ਤੇ ਪ੍ਰਬੰਧਿਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਵਿਅਕਤੀਗਤ ਮੋਡੀਊਲਾਂ ਜਾਂ ਵਿਅਕਤੀਗਤ ਡਿਵੈਲਪਰਾਂ ਦੇ ਵਾਤਾਵਰਣ ਵਿੱਚ ਖਿੰਡੇ ਹੋਏ ਨਹੀਂ। ਜਦੋਂ ਇੱਕ ਕੁੰਜੀ ਨੂੰ ਘੁੰਮਾਉਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਇਹ ਇੱਕ ਵਾਰ ਹੁੰਦਾ ਹੈ, ਇੱਕ ਥਾਂ ਤੇ, ਨਾ ਕਿ ਸਤਾਰਾਂ ਵੱਖ-ਵੱਖ ਏਕੀਕਰਣ ਬਿੰਦੂਆਂ ਵਿੱਚ।

ਬਿਲਿੰਗ ਅਟੈਕ ਵੈਕਟਰ: ਇੱਕ ਖ਼ਤਰਾ ਮਾਡਲ ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਘੱਟ ਸਮਝਣਾ

ਸੁਰੱਖਿਆ ਚਰਚਾਵਾਂ ਅਕਸਰ ਡਾਟਾ ਉਲੰਘਣਾ ਅਤੇ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ 'ਤੇ ਕੇਂਦਰਿਤ ਹੁੰਦੀਆਂ ਹਨ। ਜੇਮਿਨੀ ਐਕਸਪੋਜ਼ਰ ਸਮੱਸਿਆ ਇੱਕ ਤੀਜਾ ਖ਼ਤਰਾ ਮਾਡਲ ਜੋੜਦੀ ਹੈ ਜੋ ਬਰਾਬਰ ਧਿਆਨ ਦੇ ਹੱਕਦਾਰ ਹੈ: ਪੈਮਾਨੇ 'ਤੇ ਬਿਲਿੰਗ ਧੋਖਾਧੜੀ।

ਵੱਡੇ ਭਾਸ਼ਾ ਮਾਡਲ ਦਾ ਅਨੁਮਾਨ ਮਹਿੰਗਾ ਹੈ। GPT-4 ਅਤੇ Gemini Ultra ਪ੍ਰੋਸੈਸ ਟੋਕਨਾਂ ਹਰ ਇੱਕ ਸੇਂਟ ਦੇ ਅੰਸ਼ਾਂ 'ਤੇ, ਪਰ ਪੈਮਾਨੇ 'ਤੇ - ਹਜ਼ਾਰਾਂ ਬੇਨਤੀਆਂ, ਲੱਖਾਂ ਟੋਕਨਾਂ - ਉਹ ਅੰਸ਼ ਬਹੁਤ ਤੇਜ਼ੀ ਨਾਲ ਹਜ਼ਾਰਾਂ ਡਾਲਰਾਂ ਤੱਕ ਜੋੜਦੇ ਹਨ। ਹਮਲਾਵਰ ਜੋ ਐਕਸਪੋਜ਼ਡ AI API ਕੁੰਜੀਆਂ ਦੀ ਖੋਜ ਕਰਦੇ ਹਨ ਜ਼ਰੂਰੀ ਤੌਰ 'ਤੇ ਤੁਹਾਡਾ ਡੇਟਾ ਨਹੀਂ ਚਾਹੁੰਦੇ ਹਨ। ਉਹ ਮੁਫਤ ਗਣਨਾ ਚਾਹੁੰਦੇ ਹਨ. ਉਹ ਤੁਹਾਡੀਆਂ AI ਸੇਵਾਵਾਂ ਨੂੰ ਚਲਾਉਣ, ਅਨੁਮਾਨ ਸਮਰੱਥਾ ਨੂੰ ਮੁੜ ਵੇਚਣ, ਜਾਂ ਆਪਣੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਤਣਾਅ-ਜਾਂਚ ਕਰਨ ਲਈ ਤੁਹਾਡੇ ਪ੍ਰਮਾਣ-ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਗੇ — ਜਦੋਂ ਕਿ ਬਿੱਲ ਤੁਹਾਡੇ ਕੋਲ ਜਾਂਦਾ ਹੈ।

ਇੱਕ ਡਿਵੈਲਪਰ ਨੇ ਇੱਕ ਜਨਤਕ ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ ਛੇ ਘੰਟਿਆਂ ਤੋਂ ਘੱਟ ਸਮੇਂ ਲਈ ਪ੍ਰਗਟ ਕੀਤੀ ਇੱਕ Gemini ਕੁੰਜੀ ਤੋਂ $23,000 ਦੇ ਬਿੱਲ ਨੂੰ ਜਾਗਣ ਦਾ ਦਸਤਾਵੇਜ਼ ਬਣਾਇਆ। ਹਮਲਾਵਰ ਨੇ ਸ਼ੋਸ਼ਣ ਨੂੰ ਤੁਰੰਤ ਸਵੈਚਲਿਤ ਕਰ ਦਿੱਤਾ ਸੀ, ਉੱਚ-ਥਰੂਪੁਟ ਜਨਰੇਸ਼ਨ ਕਾਰਜਾਂ ਨੂੰ ਲਗਾਤਾਰ ਚਲਾ ਰਿਹਾ ਸੀ ਜਦੋਂ ਤੱਕ ਗੂਗਲ ਦੀ ਧੋਖਾਧੜੀ ਦਾ ਪਤਾ ਨਹੀਂ ਲੱਗ ਜਾਂਦਾ। ਡਿਵੈਲਪਰ ਨੂੰ ਆਖਰਕਾਰ ਇੱਕ ਲੰਮੀ ਵਿਵਾਦ ਪ੍ਰਕਿਰਿਆ ਤੋਂ ਬਾਅਦ ਚਾਰਜ ਵਾਪਸ ਲੈ ਲਏ ਗਏ, ਪਰ ਉਸ ਮਿਆਦ ਦੇ ਦੌਰਾਨ ਖਾਤੇ ਨੂੰ ਮੁਅੱਤਲ ਕਰ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਇਸਦੇ ਨਾਲ ਉਤਪਾਦਨ ਸੇਵਾਵਾਂ ਨੂੰ ਬੰਦ ਕਰ ਦਿੱਤਾ ਗਿਆ ਸੀ।

ਇਸੇ ਕਰਕੇ ਬਿਲਿੰਗ ਚੇਤਾਵਨੀਆਂ ਅਤੇ ਕੋਟਾ ਸੀਮਾਵਾਂ ਸਹੀ ਭੇਦ ਪ੍ਰਬੰਧਨ ਦਾ ਬਦਲ ਨਹੀਂ ਹਨ — ਇਹ ਬਚਾਅ ਦੀ ਇੱਕ ਆਖਰੀ ਲਾਈਨ ਹਨ ਜਿਸਦੀ ਤੁਹਾਨੂੰ ਉਮੀਦ ਹੈ ਕਿ ਤੁਹਾਨੂੰ ਕਦੇ ਲੋੜ ਨਹੀਂ ਪਵੇਗੀ। AI API ਖਾਤਿਆਂ 'ਤੇ ਸਖਤ ਮਹੀਨਾਵਾਰ ਖਰਚ ਸੀਮਾਵਾਂ ਨੂੰ ਸੈੱਟ ਕਰਨਾ ਹੁਣ ਟੇਬਲ ਸਟੇਕਸ ਹੈ, ਪਰ ਅਸਲ ਸੁਰੱਖਿਆ ਇਹ ਯਕੀਨੀ ਬਣਾ ਰਹੀ ਹੈ ਕਿ ਉਹ ਪ੍ਰਮਾਣ ਪੱਤਰ ਕਦੇ ਵੀ ਪਹਿਲੀ ਥਾਂ 'ਤੇ ਲੀਕ ਨਾ ਹੋਣ।

ਪਰਿਵਰਤਨ ਕਰਨ ਵਾਲੀਆਂ ਟੀਮਾਂ ਲਈ ਵਿਹਾਰਕ ਕਦਮ

ਜੇਕਰ ਤੁਹਾਡੀ ਟੀਮ ਪੁਰਾਣੇ ਮਾਨਸਿਕ ਮਾਡਲ ਦੇ ਤਹਿਤ Google API ਏਕੀਕਰਣ ਬਣਾ ਰਹੀ ਹੈ ਅਤੇ ਹੁਣ ਸਟੈਕ ਵਿੱਚ Gemini ਨੂੰ ਜੋੜ ਰਹੀ ਹੈ, ਤਾਂ ਇੱਥੇ ਇੱਕ ਯਥਾਰਥਵਾਦੀ ਉਪਚਾਰ ਚੈੱਕਲਿਸਟ ਹੈ:

  1. ਮੌਜੂਦਾ ਰਿਪੋਜ਼ਟਰੀਆਂ ਦਾ ਤੁਰੰਤ ਆਡਿਟ ਕਰੋ। ਆਪਣੇ ਪੂਰੇ ਗਿੱਟ ਇਤਿਹਾਸ ਦੇ ਵਿਰੁੱਧ truffleHog ਜਾਂ gitleaks ਚਲਾਓ, ਨਾ ਕਿ ਮੌਜੂਦਾ HEAD ਦੇ ਵਿਰੁੱਧ। ਖਾਸ ਤੌਰ 'ਤੇ ਕਿਸੇ ਵੀ ਰਿਪੋਜ਼ਟਰੀ 'ਤੇ ਫੋਕਸ ਕਰੋ ਜਿਸ ਵਿੱਚ ਅਤੀਤ ਵਿੱਚ Google API ਕੁੰਜੀ ਦੀ ਵਰਤੋਂ ਹੋਈ ਹੈ।
  2. ਸਾਰੀਆਂ ਐਕਸਪੋਜ਼ ਕੀਤੀਆਂ ਕੁੰਜੀਆਂ ਨੂੰ ਘੁਮਾਓ। ਜੇਕਰ ਕੋਈ Gemini ਕੁੰਜੀ ਕਦੇ ਕਿਸੇ ਵਚਨਬੱਧਤਾ ਵਿੱਚ ਦਿਖਾਈ ਦਿੱਤੀ ਹੈ, ਤਾਂ ਮੰਨ ਲਓ ਕਿ ਇਸ ਨਾਲ ਸਮਝੌਤਾ ਹੋਇਆ ਹੈ। ਇਸਨੂੰ ਰੱਦ ਕਰੋ ਅਤੇ ਇੱਕ ਨਵਾਂ ਬਣਾਓ। ਇਹ ਮੁਲਾਂਕਣ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਨਾ ਕਰੋ ਕਿ ਕਿਸੇ ਨੂੰ "ਅਸਲ ਵਿੱਚ" ਇਹ ਮਿਲਿਆ ਹੈ।
  3. ਪ੍ਰੀ-ਕਮਿਟ ਸਕੈਨਿੰਗ ਨੂੰ ਲਾਗੂ ਕਰੋ। ਹਰੇਕ ਡਿਵੈਲਪਰ ਦੀ ਮਸ਼ੀਨ ਅਤੇ CI/CD ਪਾਈਪਲਾਈਨਾਂ ਵਿੱਚ ਇੱਕ ਗੈਰ-ਬਾਈਪਾਸ ਹੋਣ ਯੋਗ ਗੇਟ ਵਜੋਂ ਗੁਪਤ ਖੋਜ ਹੁੱਕ ਸਥਾਪਿਤ ਕਰੋ।
  4. ਇੱਕ ਮੁੱਖ ਵਸਤੂ ਸੂਚੀ ਸਥਾਪਤ ਕਰੋ। ਜਾਣੋ ਕਿ ਕਿਹੜੀਆਂ ਸੇਵਾਵਾਂ ਵਿੱਚ ਕਿਹੜੇ ਪ੍ਰਮਾਣ-ਪੱਤਰ ਹਨ, ਉਹਨਾਂ ਦਾ ਮਾਲਕ ਕੌਣ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਪਿਛਲੀ ਵਾਰ ਕਦੋਂ ਘੁੰਮਾਇਆ ਗਿਆ ਸੀ, ਅਤੇ ਉਹਨਾਂ ਦੀ ਵਰਤੋਂ ਕਿੱਥੇ ਕੀਤੀ ਗਈ ਸੀ। ਇੱਕ ਸਪ੍ਰੈਡਸ਼ੀਟ ਇੱਕ ਵਧੀਆ ਸ਼ੁਰੂਆਤੀ ਬਿੰਦੂ ਹੈ; ਇੱਕ ਗੁਪਤ ਪ੍ਰਬੰਧਕ ਮੰਜ਼ਿਲ ਹੈ।
  5. ਬਿਲਿੰਗ ਚੇਤਾਵਨੀਆਂ ਅਤੇ ਸਖ਼ਤ ਸੀਮਾਵਾਂ ਸੈੱਟ ਕਰੋ। ਹਰੇਕ AI API ਖਾਤੇ 'ਤੇ, ਤੁਹਾਡੇ ਸੰਭਾਵਿਤ ਮਹੀਨਾਵਾਰ ਖਰਚ ਦੇ 50% ਅਤੇ 80% 'ਤੇ ਚੇਤਾਵਨੀਆਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ, ਅਤੇ ਸਖ਼ਤ ਸੀਮਾਵਾਂ ਸੈੱਟ ਕਰੋ ਜੋ ਘਾਤਕ ਬਿਲਿੰਗ ਘਟਨਾਵਾਂ ਨੂੰ ਰੋਕ ਸਕਦੀਆਂ ਹਨ।
  6. ਨਵੇਂ ਮਾਨਸਿਕ ਮਾਡਲ ਨੂੰ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਦਸਤਾਵੇਜ਼ ਬਣਾਓ। ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਇਹ ਦੱਸਣ ਲਈ ਆਪਣੀ ਟੀਮ ਦੀ ਆਨ-ਬੋਰਡਿੰਗ ਸਮੱਗਰੀ ਅਤੇ ਇੰਜੀਨੀਅਰਿੰਗ ਹੈਂਡਬੁੱਕ ਨੂੰ ਅੱਪਡੇਟ ਕਰੋ ਕਿ Gemini API ਕੁੰਜੀਆਂ ਉੱਚ-ਸੰਵੇਦਨਸ਼ੀਲਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ ਭੁਗਤਾਨ ਪ੍ਰੋਸੈਸਰ ਦੇ ਭੇਦ ਵਾਂਗ ਹੀ ਇਲਾਜ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।

ਪਲੇਟਫਾਰਮ-ਨਿਰਭਰ ਕਾਰੋਬਾਰਾਂ ਲਈ ਵਿਆਪਕ ਸਬਕ

ਜੇਮਿਨੀ ਸਥਿਤੀ ਇੱਕ ਪੈਟਰਨ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ ਜੋ ਕਿਸੇ ਵੀ ਕਾਰੋਬਾਰ ਨੂੰ ਤੀਜੀ-ਧਿਰ ਦੇ ਪਲੇਟਫਾਰਮਾਂ ਨਾਲ ਡੂੰਘਾਈ ਨਾਲ ਏਕੀਕ੍ਰਿਤ ਕਰਦੀ ਹੈ: ਪਲੇਟਫਾਰਮ ਵਿਕਸਿਤ ਹੁੰਦੇ ਹਨ, ਅਤੇ ਸੁਰੱਖਿਆ ਸਥਿਤੀ ਦੀਆਂ ਲੋੜਾਂ ਉਹਨਾਂ ਦੇ ਨਾਲ ਵਿਕਸਤ ਹੁੰਦੀਆਂ ਹਨ, ਪਰ ਉਹਨਾਂ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੀਆਂ ਟੀਮਾਂ ਦੀਆਂ ਸੰਸਥਾਗਤ ਆਦਤਾਂ ਅਕਸਰ ਗਤੀ ਨਹੀਂ ਰੱਖਦੀਆਂ। ਜੋ ਕੱਲ੍ਹ ਸੁਰੱਖਿਅਤ ਸੀ ਉਹ ਅੱਜ ਖ਼ਤਰਨਾਕ ਹੈ, ਅਤੇ ਉਨ੍ਹਾਂ ਦੋ ਰਾਜਾਂ ਵਿਚਕਾਰ ਪਾੜਾ ਹੈ ਜਿੱਥੇ ਉਲੰਘਣਾ ਹੁੰਦੀ ਹੈ।

ਇਹ ਗੁੰਝਲਦਾਰ ਸੰਚਾਲਨ ਸਟੈਕ ਚਲਾਉਣ ਵਾਲੇ ਕਾਰੋਬਾਰਾਂ ਲਈ ਖਾਸ ਤੌਰ 'ਤੇ ਗੰਭੀਰ ਹੈ। ਗਾਹਕ ਸੇਵਾ, ਵਿਸ਼ਲੇਸ਼ਣ, ਸਮੱਗਰੀ ਉਤਪਾਦਨ, ਅਤੇ ਉਤਪਾਦ ਸਿਫ਼ਾਰਿਸ਼ਾਂ ਵਿੱਚ AI-ਸੰਚਾਲਿਤ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੀ ਇੱਕ ਕੰਪਨੀ ਵਿੱਚ ਇੱਕ ਦਰਜਨ ਵੱਖ-ਵੱਖ ਸੰਦਰਭਾਂ ਵਿੱਚ ਜੇਮਿਨੀ ਏਕੀਕਰਣ ਹੋ ਸਕਦਾ ਹੈ - ਜੇਕਰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਅਸੰਗਤ ਢੰਗ ਨਾਲ ਸੰਭਾਲਿਆ ਜਾਂਦਾ ਹੈ ਤਾਂ ਹਰ ਇੱਕ ਸੰਭਾਵੀ ਐਕਸਪੋਜ਼ਰ ਪੁਆਇੰਟ ਹੈ। ਹੱਲ ਸਿਰਫ਼ ਬਿਹਤਰ ਵਿਅਕਤੀਗਤ ਡਿਵੈਲਪਰ ਆਦਤਾਂ ਨਹੀਂ ਹੈ; ਇਹ ਆਰਕੀਟੈਕਚਰਲ ਹੈ। ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਪਹੁੰਚ ਨੂੰ ਪਲੇਟਫਾਰਮ ਪੱਧਰ 'ਤੇ ਕੇਂਦਰੀਕ੍ਰਿਤ, ਆਡਿਟ ਅਤੇ ਨਿਯੰਤਰਿਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।

ਆਧੁਨਿਕ ਕਾਰੋਬਾਰੀ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਇਸ ਨੂੰ ਧਿਆਨ ਵਿੱਚ ਰੱਖ ਕੇ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਜਦੋਂ Mewayz ਆਪਣੇ ਸੂਟ ਵਿੱਚ AI ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ — ਬੁੱਧੀਮਾਨ CRM ਵਰਕਫਲੋ ਤੋਂ ਲੈ ਕੇ ਇਸਦੇ 207-ਮੋਡਿਊਲ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਸਵੈਚਲਿਤ ਵਿਸ਼ਲੇਸ਼ਣ ਤੱਕ — ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਪ੍ਰਬੰਧਨ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪਰਤ 'ਤੇ ਹੈਂਡਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਐਪਲੀਕੇਸ਼ਨ ਲੇਅਰ 'ਤੇ ਨਹੀਂ। ਵਿਅਕਤੀਗਤ ਮੋਡੀਊਲ ਡਿਵੈਲਪਰ ਕੱਚੀਆਂ API ਕੁੰਜੀਆਂ ਨੂੰ ਸੰਭਾਲਦੇ ਨਹੀਂ ਹਨ; ਉਹ ਐਬਸਟਰੈਕਸ਼ਨ ਲੇਅਰਾਂ ਰਾਹੀਂ ਸਮਰੱਥਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਦੇ ਹਨ ਜੋ ਰੋਟੇਸ਼ਨ ਨੀਤੀਆਂ, ਆਡਿਟ ਪਹੁੰਚ, ਅਤੇ ਜੇਕਰ ਕੁਝ ਗਲਤ ਹੋ ਜਾਂਦਾ ਹੈ ਤਾਂ ਧਮਾਕੇ ਦੇ ਘੇਰੇ ਨੂੰ ਸੀਮਤ ਕਰਦੇ ਹਨ। ਇਹ ਉਹ ਆਰਕੀਟੈਕਚਰ ਹੈ ਜਿਸਦੀ ਮਿਥੁਨ ਯੁੱਗ ਦੀ ਮੰਗ ਹੈ: ਨਾ ਸਿਰਫ਼ ਬਿਹਤਰ ਆਦਤਾਂ, ਸਗੋਂ ਬਿਹਤਰ ਪ੍ਰਣਾਲੀਆਂ ਜੋ ਸਹੀ ਆਦਤਾਂ ਨੂੰ ਇੱਕੋ ਇੱਕ ਉਪਲਬਧ ਵਿਕਲਪ ਬਣਾਉਂਦੀਆਂ ਹਨ।

Google ਨੇ ਨਕਸ਼ੇ ਅਤੇ YouTube ਲਈ ਇੱਕ ਮਨਜ਼ੂਰ API ਕੁੰਜੀ ਮਾਡਲ ਬਣਾਉਣ ਵਿੱਚ ਕੋਈ ਗਲਤੀ ਨਹੀਂ ਕੀਤੀ। ਉਹ ਮਾਡਲ ਉਹਨਾਂ ਸੇਵਾਵਾਂ ਲਈ ਢੁਕਵਾਂ ਸੀ। ਪਰ ਜਿਵੇਂ ਕਿ APIs ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਲਾਗਤ ਪ੍ਰੋਫਾਈਲਾਂ ਨਾਟਕੀ ਢੰਗ ਨਾਲ ਵਿਕਸਤ ਹੁੰਦੀਆਂ ਹਨ - ਅਤੇ ਜਿਵੇਂ ਕਿ AI APIs ਉਸ ਵਿਕਾਸ ਵਿੱਚ ਸ਼ਾਇਦ ਸਭ ਤੋਂ ਤਿੱਖੇ ਪ੍ਰਭਾਵ ਪੁਆਇੰਟ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ - ਪੂਰੇ ਉਦਯੋਗ ਨੂੰ ਇਸਦੇ ਡਿਫੌਲਟ ਰੀਸੈਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। ਇਸ ਮਾਹੌਲ ਵਿੱਚ ਵਿਕਾਸ ਕਰਨ ਵਾਲੇ ਵਿਕਾਸਕਾਰ ਉਹ ਨਹੀਂ ਹੋਣਗੇ ਜਿਨ੍ਹਾਂ ਨੇ ਪੁਰਾਣੇ ਨਿਯਮਾਂ ਨੂੰ ਸਭ ਤੋਂ ਵਧੀਆ ਢੰਗ ਨਾਲ ਸਿੱਖਿਆ ਹੈ, ਪਰ ਉਹ ਲੋਕ ਹੋਣਗੇ ਜੋ ਇਹ ਪਛਾਣਦੇ ਹਨ ਕਿ ਜਦੋਂ ਨਿਯਮ ਬੁਨਿਆਦੀ ਤੌਰ 'ਤੇ ਬਦਲ ਗਏ ਹਨ।

ਅਕਸਰ ਪੁੱਛੇ ਜਾਣ ਵਾਲੇ ਸਵਾਲ

Google API ਕੁੰਜੀਆਂ ਨੂੰ ਜਨਤਕ ਤੌਰ 'ਤੇ ਪ੍ਰਗਟ ਕਰਨ ਲਈ ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ ਸੁਰੱਖਿਅਤ ਕਿਉਂ ਮੰਨਿਆ ਜਾਂਦਾ ਸੀ?

Google ਨੇ ਆਪਣੇ ਬਹੁਤ ਸਾਰੇ API - ਨਕਸ਼ੇ, YouTube, ਸਥਾਨ - ਨੂੰ ਕਲਾਇੰਟ-ਸਾਈਡ ਵਰਤੋਂ ਲਈ ਡਿਜ਼ਾਈਨ ਕੀਤਾ ਹੈ, ਭਾਵ ਕੁੰਜੀਆਂ ਜਾਣਬੁੱਝ ਕੇ ਫਰੰਟ-ਐਂਡ ਕੋਡ ਵਿੱਚ ਏਮਬੈਡ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ ਜੋ ਕਿਸੇ ਨੂੰ ਵੀ ਦਿਖਾਈ ਦਿੰਦੀਆਂ ਹਨ। ਸੁਰੱਖਿਆ ਮਾਡਲ ਮੁੱਖ ਗੁਪਤਤਾ ਦੀ ਬਜਾਏ ਵਰਤੋਂ ਦੀਆਂ ਪਾਬੰਦੀਆਂ ਜਿਵੇਂ ਕਿ ਡੋਮੇਨ ਮਨਜ਼ੂਰ ਸੂਚੀਆਂ ਅਤੇ ਰੈਫਰਰ ਜਾਂਚਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਸਾਲਾਂ ਤੋਂ, ਇੱਕ ਐਕਸਪੋਜ਼ਡ ਕੁੰਜੀ ਨੂੰ ਇੱਕ ਸੰਰਚਨਾ ਮੁੱਦਾ ਮੰਨਿਆ ਜਾਂਦਾ ਸੀ, ਨਾ ਕਿ ਇੱਕ ਗੰਭੀਰ ਕਮਜ਼ੋਰੀ ਜਿਸ ਲਈ ਤੁਰੰਤ ਰੋਟੇਸ਼ਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।

ਜਦੋਂ Google ਨੇ Gemini API ਕੁੰਜੀਆਂ ਪੇਸ਼ ਕੀਤੀਆਂ ਤਾਂ ਕੀ ਬਦਲਿਆ?

ਪੁਰਾਣੇ Google APIs ਦੇ ਉਲਟ, Gemini API ਕੁੰਜੀਆਂ ਰਵਾਇਤੀ ਰਾਜ਼ਾਂ ਵਾਂਗ ਕੰਮ ਕਰਦੀਆਂ ਹਨ — ਕਿਸੇ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰਨ ਨਾਲ ਤੁਹਾਡੇ ਬਿਲਿੰਗ ਖਾਤੇ ਲਈ ਅਣਅਧਿਕਾਰਤ ਖਰਚੇ, ਮਾਡਲ ਦੀ ਦੁਰਵਰਤੋਂ, ਜਾਂ ਤੁਹਾਨੂੰ ਬਚਾਉਣ ਲਈ ਕੋਈ ਬਿਲਟ-ਇਨ ਡੋਮੇਨ ਪਾਬੰਦੀ ਦੇ ਨਾਲ ਕੋਟਾ ਥਕਾਵਟ ਹੋ ਸਕਦਾ ਹੈ। ਸ਼ਿਫਟ ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਹੁਣ ਜੇਮਿਨੀ ਕੁੰਜੀਆਂ ਨੂੰ AWS ਕ੍ਰੇਡੇੰਸ਼ਿਅਲਸ ਜਾਂ ਸਟ੍ਰਾਈਪ ਸੀਕ੍ਰੇਟ ਕੁੰਜੀਆਂ ਵਾਂਗ ਹੀ ਅਨੁਸ਼ਾਸਨ ਨਾਲ ਪੇਸ਼ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਸਰਵਰ-ਸਾਈਡ ਸਟੋਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਕਦੇ ਵੀ ਕਲਾਇੰਟ-ਫੇਸਿੰਗ ਕੋਡ ਵਿੱਚ ਨਹੀਂ।

ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਅੱਜ ਏਆਈ ਸੇਵਾਵਾਂ ਲਈ API ਕੁੰਜੀਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਕਿਵੇਂ ਪ੍ਰਬੰਧਿਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ?

ਸਰਵਰ 'ਤੇ ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ ਦੇ ਤੌਰ 'ਤੇ ਸਾਰੀਆਂ AI API ਕੁੰਜੀਆਂ ਨੂੰ ਸਟੋਰ ਕਰਨਾ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸ ਹੈ, ਕਦੇ ਵੀ ਵਰਜਨ-ਨਿਯੰਤਰਿਤ ਫਾਈਲਾਂ ਜਾਂ ਕਲਾਇੰਟ ਬੰਡਲਾਂ ਵਿੱਚ ਨਹੀਂ। ਇੱਕ ਸੀਕਰੇਟਸ ਮੈਨੇਜਰ ਦੀ ਵਰਤੋਂ ਕਰੋ, ਕੁੰਜੀਆਂ ਨੂੰ ਨਿਯਮਿਤ ਤੌਰ 'ਤੇ ਘੁੰਮਾਓ, ਅਤੇ ਪ੍ਰਦਾਤਾ ਪੱਧਰ 'ਤੇ ਖਰਚ ਸੀਮਾਵਾਂ ਸੈੱਟ ਕਰੋ। Mewayz ਵਰਗੇ ਪਲੇਟਫਾਰਮ — app.mewayz.com 'ਤੇ $19/mo 'ਤੇ ਉਪਲਬਧ ਇੱਕ 207-ਮੋਡਿਊਲ ਕਾਰੋਬਾਰੀ OS — ਆਪਣੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਅੰਦਰ API ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਪ੍ਰਬੰਧਨ ਨੂੰ ਹੈਂਡਲ ਕਰਦੇ ਹਨ ਤਾਂ ਕਿ ਟੀਮਾਂ ਸਾਰੀਆਂ ਸੇਵਾਵਾਂ ਵਿੱਚ ਹੱਥੀਂ ਕੁੰਜੀਆਂ ਨਾ ਚਲਾ ਸਕਣ।

ਜੇ ਮੈਂ ਪਹਿਲਾਂ ਹੀ ਗਲਤੀ ਨਾਲ Gemini API ਕੁੰਜੀ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰ ਦਿੱਤਾ ਹੈ ਤਾਂ ਮੈਨੂੰ ਕੀ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ?

Google ਕਲਾਊਡ ਕੰਸੋਲ ਰਾਹੀਂ ਸਮਝੌਤਾ ਕੀਤੀ ਕੁੰਜੀ ਨੂੰ ਤੁਰੰਤ ਰੱਦ ਕਰੋ ਅਤੇ ਕੁਝ ਹੋਰ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਇੱਕ ਬਦਲੀ ਬਣਾਓ। ਅਚਾਨਕ ਵਰਤੋਂ ਦੇ ਵਾਧੇ ਲਈ ਆਪਣੇ ਬਿਲਿੰਗ ਡੈਸ਼ਬੋਰਡ ਦਾ ਆਡਿਟ ਕਰੋ ਜੋ ਦਰਸਾ ਸਕਦਾ ਹੈ ਕਿ ਕੁੰਜੀ ਦੀ ਕਟਾਈ ਕੀਤੀ ਗਈ ਸੀ। ਫਿਰ ਆਪਣੇ ਕੋਡਬੇਸ, CI/CD ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ, ਅਤੇ ਹੋਰ ਲੀਕ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਲਈ ਕਿਸੇ ਵੀ ਜਨਤਕ ਰਿਪੋਜ਼ਟਰੀਆਂ ਦੀ ਸਮੀਖਿਆ ਕਰੋ। ਘਟਨਾ ਨੂੰ ਉਸੇ ਤਰ੍ਹਾਂ ਵਰਤੋ ਜਿਵੇਂ ਕਿ ਤੁਸੀਂ ਕੋਈ ਵੀ ਉਜਾਗਰ ਭੁਗਤਾਨ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਾਪਤ ਕਰੋਗੇ — ਮੰਨ ਲਓ ਕਿ ਇਹ ਲੱਭਿਆ ਗਿਆ ਸੀ ਅਤੇ ਉਸ ਅਨੁਸਾਰ ਕਾਰਵਾਈ ਕਰੋ।