NexusCore セキュリティベースライン

バージョン: 1.0 最終更新: 2026-05-13

API鍵管理ポリシー

  • API鍵は .env ファイルでのみ管理(環境変数経由で読み込み)
  • .env.gitignore に含める(.env.template のみリポジトリ管理)
  • ログ・標準出力に鍵値を出力しない(set/unset + length のみ)
  • 起動時に key_health.py が全プロバイダー鍵を自動検証

サポート対象プロバイダー

プロバイダー 環境変数 ティア
OpenAI OPENAI_API_KEY Quality
Anthropic ANTHROPIC_API_KEY Quality
Google GEMINI_API_KEY Quality
GLM (Zhipu AI) GLM_API_KEY Lightweight
MiniMax MINIMAX_API_KEY Lightweight
DeepSeek DEEPSEEK_API_KEY Quality
Moonshot KIMI_API_KEY Lightweight
Perplexity PERPLEXITY_API_KEY Quality

ローテーション手順

  1. プロバイダーのダッシュボードで新しいキーを生成
  2. .env の該当変数を新キーに更新
  3. NexusCoreを再起動(key_health が新キーを自動検証)
  4. 旧キーをプロバイダー側で無効化

漏洩検知時の対応フロー

  1. 漏洩したキーを即座にプロバイダー側で無効化(Revoke)
  2. 新キーを生成し .env を更新
  3. Git履歴の漏洩コミットを git filter-repo で除去
  4. key_health チェックで新キーの正常性を確認
  5. インシデント記録を 01_DECISIONS/NexusCore/ に保存

起動時チェックリスト

key_health.py が自動で実行する検証項目:

  • プレースホルダー検出(空文字、sk-xxxchangeme 等)
  • 重複キー検出(複数環境変数に同一キーが設定されていないか)
  • キー長の記録(値は保持しない、ハッシュで比較のみ)

環境変数一覧

詳細は .env.template を参照。


This site uses Just the Docs, a documentation theme for Jekyll.