密钥扫描

正确管理您的密钥（环境变量）非常重要。人们将密钥暴露给外部世界最常见的方式是直接将其硬编码到代码文件中，这使得恶意用户可以利用您的密钥和密钥可以访问的服务。

例如，这是一个被入侵的 app.py 文件可能的样子

import numpy as np
import scipy as sp

api_key = "sw-xyz1234567891213"

def call_inference(prompt: str) -> str:
    result = call_api(prompt, api_key)
    return result

为了防止此问题，我们会在您每次推送时运行 TruffleHog。TruffleHog 会扫描硬编码的密钥，并在检测到时向您发送电子邮件。

您只会收到经过验证的密钥的电子邮件，这些密钥已确认可用于针对其各自提供商进行身份验证。但是请注意，未经验证的密钥不一定无害或无效：由于技术原因（例如网络错误）可能会导致验证失败。

TruffleHog 可以验证适用于多种服务的密钥，它不限于 Hugging Face 令牌。

您可以从您的设置中选择退出这些电子邮件通知。