StripeプラグインのシークレットAPIキーは、非常に重要な情報であり、慎重に扱わなければなりません。シークレットAPIキーが漏洩すると、不正なアクセスや取引が可能になり、重大なセキュリティ問題が発生する可能性があります。
Stripeプラグインを使用する際には、シークレットAPIキーを安全に保管する必要があります。具体的には、シークレットAPIキーを直接コードに書き込まないこと、サーバー上に保存する場合は暗号化して保存すること、管理者以外にアクセスできない場所に保存することなどが推奨されます。また、万が一シークレットAPIキーが漏洩した場合に備えて、定期的なキーのローテーションや、アクセス制御の強化などの対策を取ることが重要だということです。
[参考] Stripe DOCS の記述より
上記については、以下の様に、記載されています。
キーを安全に保存する
シークレット API キーは、支払いの作成、返金の実施など、お客様のアカウントの代理としてあらゆる API コールの実行に使用できます。キーを安全に保管するために、以下のベストプラクティスを利用してください。
- 必要な人のみにアクセスを付与します。
- バージョン管理システムを使用している場合には、キーがその影響を受けないようにします。
- キーへのアクセスの管理には、パスワードマネージャーまたはシークレット管理サービスを使用します。
- シークレット API キーを、モバイルアプリケーションやキーが抽出される可能性のあるその他の場所に埋め込まないでください。
