這是我最不想回憶的一天。某個禮拜五下午,我在趕 demo,不小心把含有 API Key 的 .env 打包進程式碼推上 GitHub Public Repo。
事件時間軸
- 14:30 — 推上 GitHub
- 16:00 — 怪機器人開始大量呼叫 API
- 02:30 (隔天) — 收到帳單警告信,已達 $2000
- 04:00 — 緊急撤銷所有 API Key,聯絡客服爭取退款
防範 SOP
- 永遠使用 .env 並加入 .gitignore
- 安裝 git-secrets 自動封鎖
- 設定 Usage Limits 和預算警告
- 定期輪換 API Key
社群討論 (1 則)