NexusCore セキュリティベースライン
バージョン: 1.0 最終更新: 2026-05-13
API鍵管理ポリシー
- API鍵は
.envファイルでのみ管理(環境変数経由で読み込み) .envは.gitignoreに含める(.env.templateのみリポジトリ管理)- ログ・標準出力に鍵値を出力しない(
set/unset+lengthのみ) - 起動時に
key_health.pyが全プロバイダー鍵を自動検証
サポート対象プロバイダー
| プロバイダー | 環境変数 | ティア |
|---|---|---|
| OpenAI | OPENAI_API_KEY | Quality |
| Anthropic | ANTHROPIC_API_KEY | Quality |
GEMINI_API_KEY | Quality | |
| GLM (Zhipu AI) | GLM_API_KEY | Lightweight |
| MiniMax | MINIMAX_API_KEY | Lightweight |
| DeepSeek | DEEPSEEK_API_KEY | Quality |
| Moonshot | KIMI_API_KEY | Lightweight |
| Perplexity | PERPLEXITY_API_KEY | Quality |
ローテーション手順
- プロバイダーのダッシュボードで新しいキーを生成
.envの該当変数を新キーに更新- NexusCoreを再起動(
key_healthが新キーを自動検証) - 旧キーをプロバイダー側で無効化
漏洩検知時の対応フロー
- 漏洩したキーを即座にプロバイダー側で無効化(Revoke)
- 新キーを生成し
.envを更新 - Git履歴の漏洩コミットを
git filter-repoで除去 key_healthチェックで新キーの正常性を確認- インシデント記録を
01_DECISIONS/NexusCore/に保存
起動時チェックリスト
key_health.py が自動で実行する検証項目:
- プレースホルダー検出(空文字、
sk-xxx、changeme等) - 重複キー検出(複数環境変数に同一キーが設定されていないか)
- キー長の記録(値は保持しない、ハッシュで比較のみ)
環境変数一覧
詳細は .env.template を参照。