TL;DR
Ya, Postman menyimpan kunci API dan kredensial lainnya ketika Anda menyimpannya dalam variabel lingkungan dengan sinkronisasi cloud diaktifkan, yang merupakan pengaturan default. Ini tidak berarti Postman menyalahgunakan kunci Anda, tetapi berarti kredensial Anda ada di server pihak ketiga. Memahami hal ini membantu Anda memutuskan apakah pengaturan default Postman sesuai dengan persyaratan keamanan Anda, dan kapan alat yang mengutamakan lokal seperti Apidog adalah pilihan yang lebih baik.
Pendahuluan
Pertanyaan "apakah Postman menyimpan kunci API saya?" sering muncul di komunitas pengembang. Cari di Reddit r/webdev atau r/programming, dan Anda akan menemukan utas dari pengembang yang menanyakan hal yang sama, seringkali dipicu oleh temuan audit keamanan atau percakapan dengan tim keamanan mereka.
Kekhawatiran ini sah. Kunci API pada dasarnya adalah kata sandi untuk layanan Anda. Kunci API yang bocor untuk pemroses pembayaran dapat mengakibatkan tagihan penipuan. Kunci penyedia cloud yang bocor dapat menyebabkan pembuatan sumber daya yang tidak sah, eksfiltrasi data, atau tagihan puluhan ribu dolar. Pengembang yang menyimpan kunci ini di alat pengembangan mereka mempercayakan alat tersebut.
Sebagian besar pengembang tahu untuk tidak mengunggah kunci API ke repositori GitHub publik. Kesadaran mengenai alat klien API lebih rendah. Postman memiliki lebih dari 30 juta pengguna, yang berarti sejumlah besar pengembang menyimpan kredensial di alat tanpa memahami sepenuhnya ke mana kredensial tersebut pergi.
Artikel ini memberikan jawaban langsung dan teknis untuk pertanyaan penyimpanan kunci API dan menjelaskan apa yang dapat Anda lakukan.
Jawaban langsung: ya, dengan konteks penting
Postman menyimpan kunci API dalam skenario berikut:
Ketika Anda menggunakan variabel lingkungan. Sistem lingkungan Postman adalah cara standar untuk menyimpan kredensial untuk digunakan dalam permintaan. Jika Anda membuat variabel lingkungan bernama API_KEY dengan nilai sk-abc123..., nilai tersebut disinkronkan ke server cloud Postman saat sinkronisasi cloud aktif. Ini adalah perilaku default.
Ketika Anda menggunakan variabel koleksi. Variabel yang disimpan di tingkat koleksi disinkronkan dengan cara yang sama.
Ketika Anda menggunakan variabel global. Variabel global disinkronkan ke akun Postman Anda.
Ketika kredensial muncul di badan atau header permintaan. Jika Anda mengodekan kredensial di header permintaan (seperti Authorization: Bearer sk-abc123...) dan menyimpan koleksi, nilai tersebut disinkronkan.
Apa yang tidak disinkronkan secara default: Nilai yang disimpan di Postman Vault. Vault adalah penyimpanan kredensial lokal yang secara eksplisit tidak disinkronkan ke cloud Postman. Ini memerlukan penyimpanan kredensial secara manual di sana daripada di variabel lingkungan.
Apa arti sebenarnya dari “sinkronisasi cloud”
Sinkronisasi cloud di Postman berarti salinan data ruang kerja Anda terus dipertahankan di server Postman. Ini terjadi secara otomatis di latar belakang. Anda tidak perlu mengklik "simpan" atau "sinkronkan." Saat Anda bekerja, perubahan akan menyebar ke cloud.
Tujuannya adalah kolaborasi dan persistensi. Jika laptop Anda rusak, pekerjaan Anda tidak hilang karena ada di cloud Postman. Jika Anda mengganti mesin, koleksi dan lingkungan Anda akan mengikuti Anda karena disinkronkan ke akun Anda.
Implikasi keamanan adalah kunci API Anda, yang mungkin Anda anggap berada di aplikasi di laptop Anda, sebenarnya berada di kedua tempat: laptop Anda dan cloud Postman.
Postman mengenkripsi data ini. Skema spesifiknya adalah enkripsi AES-256 untuk data saat istirahat dan TLS untuk data dalam transit. Ini adalah enkripsi standar dan wajar. Kuncinya tidak tersimpan dalam teks biasa di database Postman di suatu tempat.
Namun enkripsi tidak berarti tidak dapat diakses. Postman dapat mengakses data untuk menyediakan layanan. Jika akun Postman Anda disusupi (melalui phishing, pencurian kredensial, atau pelanggaran data di Postman), kunci API Anda yang tersimpan berpotensi dapat diakses oleh siapa pun yang memperoleh akses.
Apa yang dikatakan kebijakan privasi Postman tentang kredensial Anda
Kebijakan privasi Postman menggambarkan mereka sebagai pemroses data, bukan pengontrol data, untuk konten ruang kerja Anda. Mereka memproses data Anda untuk menyediakan layanan. Mereka tidak menjual konten ruang kerja Anda kepada pihak ketiga.
Poin-poin penting dari dokumentasi penanganan data mereka:
Pembatasan tujuan. Postman menyatakan bahwa mereka menggunakan konten ruang kerja untuk menyediakan dan meningkatkan layanan, bukan untuk pemasaran atau penjualan kembali.
Subpemroses. Postman menggunakan layanan pihak ketiga untuk infrastruktur, dukungan, dan analitik. Subpemroses ini dapat memproses data Anda sebagai bagian dari penyediaan layanan. Postman menerbitkan daftar subpemroses dalam dokumentasi mereka.
Permintaan pemerintah. Sebagai perusahaan AS, Postman tunduk pada permintaan penegakan hukum AS termasuk surat keamanan nasional. Data yang disimpan di server AS dapat dipaksa melalui proses hukum.
Pemberitahuan pelanggaran. Ketentuan Postman mencakup ketentuan pemberitahuan pelanggaran keamanan. Jika data Anda terlibat dalam pelanggaran, Postman secara kontraktual diwajibkan untuk memberi tahu Anda.
Penghapusan data. Ketika Anda menghapus akun Anda, Postman menghapus data Anda. Jadwal retensi cadangan bervariasi.
Ini adalah kebijakan normal untuk perusahaan B2B SaaS. Ini tidak menunjukkan niat buruk. Pertanyaannya adalah apakah kebijakan keamanan organisasi Anda mengizinkan penyimpanan kredensial API dengan layanan cloud pihak ketiga, dan apakah Anda telah meninjau kebijakan tersebut terhadap apa yang sebenarnya dilakukan Postman.
Dimensi visibilitas ruang kerja
Selain sinkronisasi cloud, ada dimensi kedua dari risiko kunci API Postman: visibilitas ruang kerja.
Ruang kerja Postman dapat berupa Publik, Tim, atau Pribadi. Ruang kerja publik dapat diakses oleh siapa saja tanpa autentikasi. Mereka dapat dicari di jaringan API publik Postman.
Pada tahun 2023, peneliti CloudSEK menemukan lebih dari 30.000 ruang kerja Postman publik yang berisi kunci API, token, dan kredensial asli. Perusahaan termasuk Razorpay dan New Relic memiliki kredensial sensitif di ruang kerja publik. Paparan tersebut bukan dari pelanggaran. Itu dari pengembang yang mengatur ruang kerja menjadi publik tanpa menyadari bahwa ruang kerja yang sama menyimpan kredensial asli dalam variabel lingkungan.
Ini adalah risiko kedua yang berbeda. Bahkan jika Anda mempercayai keamanan cloud Postman, kesalahan konfigurasi visibilitas ruang kerja dapat mengekspos kredensial Anda ke seluruh internet.
Siapa yang paling berisiko
Tidak setiap pengembang menghadapi tingkat risiko yang sama dari penanganan kredensial Postman. Risiko lebih tinggi ketika:
Anda menyimpan kredensial produksi di Postman. Menguji terhadap API produksi dengan kunci produksi berarti kredensial produksi ada di cloud Postman. Ini umum dan benar-benar berisiko.
Ruang kerja tim Anda memiliki akses luas. Jika setiap orang di perusahaan beranggotakan 50 orang berada di tim Postman yang sama dengan akses ke semua ruang kerja, satu akun yang disusupi mengekspos semua kredensial.
Anda bekerja di industri yang diatur. Organisasi perawatan kesehatan, keuangan, pemerintah, dan pertahanan seringkali memiliki aturan eksplisit tentang di mana data tertentu dapat disimpan. Menyimpan kunci API yang memberikan akses ke sistem yang menyimpan PHI atau data keuangan di cloud pihak ketiga dapat melanggar aturan tersebut.
Kunci API Anda memiliki hak istimewa tinggi. Kunci baca-saja untuk API publik berisiko rendah. Kunci admin untuk infrastruktur cloud atau pemroses pembayaran Anda berisiko tinggi. Konsekuensi paparan meningkat seiring dengan tingkat hak istimewa kunci.
Anda adalah kontraktor atau konsultan. Menyimpan kredensial API klien di akun Postman pribadi Anda berarti kredensial klien ada di server pihak ketiga yang terhubung ke akun pribadi Anda. Jika akun tersebut disusupi, keamanan klien berisiko.
Bagaimana Postman Vault mengubah gambaran
Postman Vault, yang diperkenalkan untuk mengatasi masalah ini, menyimpan nilai kredensial secara lokal di mesin Anda. Nilai di Vault tidak disinkronkan ke cloud Postman. Anda merujuknya dalam permintaan menggunakan sintaks {{vault:variable_name}}.
Ini adalah peningkatan keamanan yang berarti. Kunci API yang disimpan di Vault tidak ada di server Postman.
Keterbatasannya: ini membutuhkan perubahan perilaku yang disengaja. Pengembang memiliki memori otot bertahun-tahun seputar variabel lingkungan. Vault mengharuskan setiap anggota tim untuk menyiapkan vault lokal mereka sendiri, yang berarti kredensial tidak dibagikan melalui fitur tim Postman. Anda memerlukan mekanisme berbagi rahasia terpisah untuk orientasi anggota tim.
Vault juga tidak membahas kredensial yang muncul langsung di header atau badan permintaan, atau kredensial dalam variabel koleksi dan global.
Alat yang mengutamakan lokal dan model alternatif
Perbedaan mendasar dengan alat yang mengutamakan lokal adalah default-nya. Dengan Postman, sinkronisasi cloud aktif kecuali Anda mematikannya (dan bahkan kemudian, itu memerlukan Vault untuk kredensial secara spesifik). Dengan Apidog, data tetap lokal kecuali Anda mengaktifkan sinkronisasi.
Variabel lingkungan Apidog disimpan dalam database SQLite lokal di mesin Anda. Mereka tidak disinkronkan ke mana pun tanpa tindakan eksplisit Anda. Jika Anda tidak pernah mengaktifkan sinkronisasi tim, kunci API Anda tidak akan pernah meninggalkan mesin Anda.
Bagi pengembang yang membutuhkan alat untuk menangani rahasia dengan aman tanpa konfigurasi apa pun, ini adalah perbedaan yang signifikan. Anda tidak perlu tahu tentang Vault, mengkonfigurasinya, dan melatih seluruh tim Anda untuk menggunakannya. Perilaku yang aman adalah perilaku default.
Bruno melangkah lebih jauh: ia menyimpan semuanya dalam file di sistem file Anda. Tidak ada opsi cloud gaya Apidog sama sekali. Jika hanya lokal adalah persyaratan yang sulit, Bruno menghilangkan pertanyaan sama sekali.
Rekomendasi praktis
Audit apa yang telah Anda simpan sekarang. Buka lingkungan Postman Anda dan tinjau setiap variabel. Cari kunci API, token, kata sandi, dan rahasia. Ketahui apa yang ada di cloud Postman.
Pindah ke Postman Vault untuk kredensial. Untuk kredensial apa pun yang perlu tetap ada di Postman, migrasikan ke Vault. Perbarui dokumentasi tim dan proses orientasi Anda.
Gunakan kunci dengan cakupan dan hak istimewa terbatas untuk pengujian. Buat kunci API khusus untuk pengembangan dan pengujian dengan izin minimum yang diperlukan. Jika kunci pengujian bocor, dampaknya terbatas. Jangan pernah menggunakan kunci admin atau produksi di alat pengembangan.
Tinjau visibilitas ruang kerja. Pastikan tidak ada ruang kerja dengan kredensial yang diatur ke Publik. Atur ke Pribadi untuk semua ruang kerja secara default.
Pertimbangkan model ancaman Anda. Untuk proyek pribadi dan API yang tidak sensitif, pengaturan Postman saat ini mungkin baik-baik saja. Untuk kredensial produksi, data yang diatur, atau pekerjaan klien, langkah-langkah tambahan untuk mencapai keamanan dengan Postman mungkin lebih mudah dihindari dengan menggunakan alat yang mengutamakan lokal.
FAQ
Apakah Postman menjual kunci API atau data ruang kerja saya?Tidak. Kebijakan privasi Postman menyatakan bahwa mereka tidak menjual konten ruang kerja pengguna. Mereka menggunakannya untuk menyediakan dan meningkatkan layanan.
Jika akun Postman saya disusupi, dapatkah penyerang mendapatkan kunci API saya?Ya, jika kunci tersebut disimpan dalam variabel lingkungan yang disinkronkan ke cloud. Inilah mengapa menggunakan Postman Vault untuk kredensial dan mengaktifkan autentikasi multi-faktor di akun Postman Anda sangat penting.
Apakah Postman mendukung autentikasi multi-faktor?Ya. Postman mendukung MFA melalui aplikasi autentikator. Mengaktifkan MFA secara signifikan mengurangi risiko kompromi akun.
Apakah kunci API di Postman Vault aman?Kunci yang disimpan di Postman Vault disimpan secara lokal dan tidak disinkronkan ke cloud Postman. Mereka seaman mesin lokal Anda. Jika mesin Anda disusupi, konten Vault dapat diakses. Tetapi mereka tidak dapat diakses oleh Postman atau oleh seseorang yang menyusupi akun Postman Anda tanpa juga menyusupi mesin Anda.
Apa yang harus saya gunakan jika saya tidak dapat menyimpan kunci API di alat cloud apa pun?Bruno adalah opsi yang paling membatasi, tanpa komponen cloud sama sekali. Apidog dalam mode lokal menyimpan semuanya di perangkat. Untuk lingkungan tim tanpa alat cloud sama sekali, Hoppscotch yang di-host sendiri atau Apidog yang di-host sendiri memberi Anda kolaborasi tanpa bergantung pada cloud pihak ketiga.
Bagaimana cara menghapus kunci API saya dari cloud Postman?Buka lingkungan Postman Anda, hapus variabel yang berisi kredensial, dan ganti dengan referensi ke Vault. Jika Anda ingin menghapus data sinkronisasi historis, Anda perlu menghapus ruang kerja dan data terkait dari pengaturan akun Postman Anda.
Jawaban untuk "apakah Postman mengumpulkan kunci API saya" adalah ya, di bawah pengaturan default dan pola penggunaan umum. Itu tidak menjadikan Postman produk yang buruk. Itu berarti Anda perlu memahami model data sebelum menyimpan kredensial sensitif, dan menggunakan Vault atau alat alternatif ketika persyaratan keamanan Anda menuntutnya.