密钥扫描

正确管理你的密钥（环境变量）非常重要。人们将密钥暴露给外界的最常见方式是在代码文件中直接硬编码密钥，这使得恶意用户可以利用你的密钥以及你的密钥有权访问的服务。

例如，一个被泄露的 app.py 文件可能如下所示：

import numpy as np
import scipy as sp

api_key = "sw-xyz1234567891213"

def call_inference(prompt: str) -> str:
    result = call_api(prompt, api_key)
    return result

为了防止此问题，我们在你每次推送时运行 TruffleHog。TruffleHog 会扫描硬编码的密钥，我们会在检测到时向你发送电子邮件。

你只会收到已验证密钥的电子邮件，这些是已确认可以针对其各自提供商进行身份验证的密钥。但是，请注意，未验证的密钥不一定无害或无效：验证可能由于技术原因而失败，例如网络错误的情况。

TruffleHog 可以验证跨多个服务工作的密钥，它不限于 Hugging Face 令牌。

你可以从你的设置中退出这些电子邮件通知。