APIキーをそのまま書いていたあの日#

当時の私は、APIキーや認証情報の管理について何も知りませんでした。
「とりあえず動けばいいか」と思って、ソースコードにそのままAPIキーを書き込んでいました。

もちろん、ローカルではちゃんと動く。
GitHubにプッシュしても、当初は何も問題なし。
「やったー完成！」くらいの気持ちでした。

GitHubから届く怒りのメール#

ところが、ある日突然GitHubから警告メールが届きました。
「リポジトリに認証情報が含まれています」
目を疑いました。
まさか自分が…
慌てて確認すると、しっかりAPIキーがソースコードにべた書きされているじゃないですか。
あの瞬間、血の気が引くとはまさにこのこと。
すぐにキーを無効化し、書き換え、環境ファイルに移すなどの対応をしました。
が、「後悔先に立たず」。
commitは履歴に残ってしまっているのです。
とりあえず、そのリポジトリは非公開にしましたが、 「もし誰かが見てしまったら…」という恐怖は消えませんでした。

環境ファイルの重要性を痛感#

今思えば、環境変数や.envファイルの存在を早く知っていれば防げたことでした。
APIキーやパスワード、秘密情報は絶対にソースに書かない。
環境変数で管理し、Gitにコミットしない。
当たり前のように見えるけれど、実は初学者が一番つまずきやすいポイントかもしれません。

未来の「おバカプログラマー」を作らないために#

今回の経験で、私は「秘密情報は絶対に守る」という当たり前の習慣が身につきました。
このブログを読んでいるあなたがもし初心者なら、自分の失敗を笑い話にしないために今から気をつけてほしいです。

• APIキーは環境変数で管理する。
• .envファイルを使う場合は.gitignoreに追加する。
• 公開リポジトリに機密情報は絶対NG
  これを徹底するだけで、大きな事故を防ぐことができます。