1. Usa sempre una chiave API unica per ogni membro del tuo team all'interno del tuo account.
Una chiave API è un codice univoco che identifica le tue richieste all'API. La tua chiave API deve essere usata da te. La condivisione delle chiavi API è in violazione delle Condizioni d'uso.
Quando inizi a sperimentare, potresti volere ampliare l'accesso all'API da parte del tuo team. OpenAI non supporta la condivisione delle chiavi API. Invita nuovi membri al tuo account dalla pagina Membri; riceveranno velocemente la loro chiave unica al momento dell'accesso. Puoi anche assegnare permessi a singole chiavi API.
2. Non distribuire mai la tua chiave in ambienti client come browser o app per dispositivi mobili.
Esponendo la tua chiave API di OpenAI in ambienti client come browser o app per dispositivi mobili, consenti a utenti malintenzionati di appropriarsi di quella chiave API e fare richieste a tuo nome, il che potrebbe causare spese inaspettate o la compromissione di alcuni dati dell'account. Le richieste devono sempre essere indirizzate attraverso il tuo server backend, dove puoi mantenere la tua chiave API al sicuro.
3. Non salvare mai la tua chiave nel repository
Salvare una chiave API nel codice sorgente è un modo comune per compromettere le credenziali. Nei repository pubblici, questo è un modo comune per condividere inconsapevolmente la propria chiave con Internet. I repository privati sono più sicuri, ma una violazione dei dati potrebbe comportare anche la divulgazione delle tue chiavi. Per questi motivi ti raccomandiamo di usare le variabili d'ambiente quale metodo proattivo per la sicurezza delle chiavi.
4. Usa le variabili d'ambiente al posto della tua chiave API
Una variabile d'ambiente è una variabile impostata sul sistema operativo, anziché all'interno dell'applicazione. Consiste in un nome e in un valore. Ti consigliamo di impostare il nome della variabile su OPENAI_API_KEY. Utilizzando in modo uniforme questo nome di variabile all'interno del tuo team, puoi eseguire il commit e condividere il tuo codice senza il rischio di esporre la tua chiave API.
Configurazione Windows
Opzione 1: imposta la variabile d'ambiente ‘OPENAI_API_KEY’ tramite il prompt dei comandi
Esegui il seguente comando nel prompt dei comandi, sostituendo <yourkey> con la tua chiave API:
setx OPENAI_API_KEY "<yourkey>"Questa azione verrà applicata alle future finestre del prompt dei comandi, quindi dovrai aprirne una nuova per usare quella variabile con curl. Puoi verificare che questa variabile sia stata impostata aprendo una nuova finestra del prompt dei comandi e digitando
echo %OPENAI_API_KEY%Opzione 2: imposta la variabile d'ambiente ‘OPENAI_API_KEY’ attraverso il Pannello di controllo
1. Apri le proprietà del sistema e seleziona Impostazioni avanzate del sistema
2. Seleziona Variabili d'ambiente...
3. Seleziona Nuovo… dalla sezione delle variabili utente (in alto). Aggiungi la tua coppia nome/valore, sostituendo <yourkey> con la tua chiave API.
Variable name: OPENAI_API_KEY
Variable value: <yourkey>Configurazione Linux / macOS
Opzione 1: imposta la variabile d'ambiente ‘OPENAI_API_KEY’ usando zsh
1. Esegui il seguente comando nel tuo terminale, sostituendo yourkey con la tua chiave API.
echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc2. Aggiorna la shell con la nuova variabile:
source ~/.zshrc3. Conferma di avere impostato la variabile d'ambiente utilizzando il seguente comando.
echo $OPENAI_API_KEYIl valore della tua chiave API sarà l'output finale.
Opzione 2: imposta la variabile d'ambiente ‘OPENAI_API_KEY’ usando bash
Segui le indicazioni dell'opzione 1, sostituendo .zshrc. con .bash_profile.
Tutto fatto! Ora puoi fare riferimento alla chiave in curl o caricarla in Python:
import os
import openai
openai.api_key = os.environ["OPENAI_API_KEY"]5. Usa un servizio di gestione delle chiavi
Ci sono molti prodotti disponibili per gestire in modo sicuro le chiavi API segrete. Questi strumenti ti consentono di controllare l'accesso alle tue chiavi e migliorare la sicurezza complessiva dei dati. In caso di un evento di violazione dei dati della tua applicazione, le tue chiavi non verrebbero compromesse, poiché sarebbero crittografate e gestite in un luogo completamente separato.
Ai team che distribuiscono le loro applicazioni in produzione consigliamo di prendere in considerazione uno di questi servizi.
6. Monitora l'uso del tuo account e cambia le tue chiavi quando necessario.
Una chiave API compromessa consente a qualcuno di accedere alla tua quota dell'account senza il tuo consenso. Questo può comportare la perdita di dati, addebiti imprevisti, l'esaurimento della tua quota mensile e l'interruzione dell'accesso alla tua API.
L'uso da parte dei tuoi team può essere monitorato tramite la pagina Utilizzi. In caso di timori riguardo a eventuali utilizzi impropri, ci sono alcune azioni che puoi intraprendere per proteggere il tuo account:
Controlla i tuoi utilizzi per verificare se sono allineati con il lavoro del tuo team. Per gli utenti appartenenti a più organizzazioni (ad es. aziendale e personale), assicurati che l'utente abbia abilitato il monitoraggio e abbia impostato l'organizzazione predefinita per gli utilizzi e il monitoraggio.
Se credi che la tua chiave sia stata compromessa, cambiala immediatamente dalla pagina delle chiavi API. Per i clienti con applicazioni in produzione, dovrai aggiornare di conseguenza i valori della tua chiave.
Contattaci tramite help.openai.com per ulteriori indagini.
7. Limita l'accesso all'API tramite una lista di indirizzi IP autorizzati
L'elenco degli indirizzi IP autorizzati consente di limitare gli indirizzi IP che possono accedere all'API di OpenAI. Quando questa funzionalità è abilitata, vengono accettate solo le richieste provenienti dagli indirizzi IP o dagli intervalli di indirizzi IP configurati, mentre tutte le altre vengono respinte, anche se includono una chiave API valida.
Ciò garantisce un ulteriore livello di protezione, assicurando che l'API sia accessibile solo da infrastrutture affidabili, come i server di backend o l'ambiente cloud.
Per ulteriori informazioni, consulta l'articolo sull'elenco degli indirizzi IP autorizzati per l'API di OpenAI.