别的不说,如果银行卡突然出现异常大额消费,银行肯定会打电话来确认,甚至直接冻结交易。云平台是不是也应该有类似的风控机制?API调用量暴增几十倍,这明显不正常啊!
这个问题挺有意思的,我觉得“共享责任”本身没毛病,毕竟用户也要为自己的安全负责。但是,谷歌在这种情况下是不是应该有更高的警惕性?比如,检测到异常的消费峰值就应该立即介入调查,而不是放任自流。可能需要更智能的风控系统,不然小公司真的扛不住啊!
楼上说的都太理想化了。谷歌是商业公司,不是慈善机构。人家提供的是基础设施,安全责任肯定要用户自己承担一部分。就好比你租了个房子,房东只负责提供房子,你自己的财产安全还得自己负责吧?
“共享责任模式”是合理的,但前提是平台要提供足够的安全工具和指导,帮助用户做好安全防护。如果平台在这方面做得不够,那就应该承担相应的责任。
我觉的可以考虑使用Vault这类的密钥管理工具,集中管理API密钥,并进行细粒度的权限控制。另外,可以设置API调用的预算限制,一旦超过预算,就自动停止服务。还有,定期轮换API密钥,防止密钥被长期滥用。最最重要的是,不要把API密钥硬编码在代码里,更不要提交到公共代码仓库!