Безопасность — проверяй все

В уроках 3 и 4 вы сохранили токен бота в файл .env и добавили его в .gitignore. Тогда мы просто сказали «делайте так» без объяснений. Сейчас разберемся, почему это важно, и добавим еще несколько правил, которые защитят вас от реальных проблем.

Почему утечка секретов — серьезная проблема

В 2024 году на GitHub обнаружили больше 39 миллионов утекших секретов: API-ключей, токенов, паролей. Автоматические боты сканируют публичные репозитории круглосуточно и находят свежие ключи за секунды.

Как обычно происходит утечка. Вы написали бота, хотите быстро проверить, работает ли он. Вместо того чтобы возиться с .env, вставляете токен прямо в код: bot = Bot(token=”123456:ABC-DEF…”).

Если токен бота попадет в публичный репозиторий на GitHub, его могут найти автоматические сканеры — они круглосуточно проверяют открытые репозитории и находят свежие ключи за секунды. Украденный токен Telegram-бота даст злоумышленнику полный контроль: он сможет рассылать спам от имени бота, читать сообщения пользователей и использовать бота для фишинга. Поэтому к токену стоит относиться как к паролю от банковского приложения.

Приватные репозитории сканеры не видят. Если вы случайно закоммитили токен в приватный репозиторий, это не катастрофа — извне его никто не достанет. Но даже в приватном репозитории лучше не хранить секреты в коде: привычка ненадежного хранения рано или поздно приведет к ошибке, когда репозиторий станет публичным или вы начнете работать в команде.