Lokal · Open Source · DSGVO-konform
Dein API-Key gehört
nicht in die Datei.
API Drop hält den echten Key verschlüsselt im lokalen Vault. In deiner .env steht nur eine harmlose Referenz – der echte Key wird erst beim Start eingesetzt. Nichts auf dem Bildschirm, nichts zu widerrufen.
exponiert
OPENAI_API_KEY=apidrop://openai-api-1
sicher
offengelegte Secrets auf GitHub, allein 2024.
GitHub Blog, 2025
Ø Kosten pro Vorfall durch kompromittierte Zugangsdaten.
IBM Cost of a Data Breach Report, 2024
Secret Leakage – Platz 2 der OWASP Non-Human Identities Top 10.
OWASP, 2025
01 apidrop://problem
Der Key steht da, wo ihn jeder sieht.
Ein API-Key wird schnell mal „temporär" in die .env geschrieben – und bleibt dort. Auf einem geteilten Bildschirm, in einem Screenshot, in einem Git-Commit, in einem YouTube-Tutorial. Wer live coded, kennt das Ritual danach: Key kopieren, Key widerrufen, hoffen, dass ihn in den Sekunden dazwischen niemand abgegriffen hat.
Automatisierte Scanner finden öffentliche Keys binnen Minuten. Genau deshalb ist der sicherste Key der, der nie im Klartext in der Datei landet. API Drop dreht den Ablauf um: In der Datei steht nur ein Name, der echte Key bleibt im verschlüsselten Vault.
02 apidrop://loesung
Drei Schritte. Kein neuer Workflow.
-
1
Key in den Vault
Key einmal einfügen (oder aus der Zwischenablage erkennen lassen). API Drop vergibt einen sprechenden Namen wie OpenAI API 1 und legt ihn AES-verschlüsselt lokal ab.
-
2
Referenz in die .env
Statt des Keys steht dort nur:
OPENAI_API_KEY=apidrop://openai-api-1Harmlos auf Kamera, in Git, in Screenshots – es ist kein Geheimnis.
-
3
Starten mit apidrop run
apidrop run -- python app.pyDer echte Key wird nur in die Umgebung des Programms gesetzt. Dein Code liest os.environ wie immer.
Dieselbe run ---Mechanik nutzen auch Doppler (doppler run) und Infisical (infisical run). API Drop bringt sie lokal, offline und ohne Konto.
03 apidrop://sicherheit
Vertrauen durch Zurückhaltung.
Lokal & offline
Keine Cloud, kein Konto, keine Übertragung. Der Vault liegt auf deinem Rechner – sonst nirgends.
AES-verschlüsselt
Keys werden mit deinem Master-Passwort verschlüsselt (PBKDF2 + Fernet/AES), nie im Klartext gespeichert.
DSGVO by design
Keine Google Fonts, keine CDNs, kein Tracking, keine Cookies. Datenminimierung ist der Ausgangszustand.
Open Source
Der Code ist einsehbar und prüfbar. Bei einem Sicherheits-Tool ist das keine Kür, sondern Voraussetzung.
04 apidrop://faq
Häufige Fragen
Wenn nur der Name in der .env steht – funktioniert mein Code dann noch?
Ja. apidrop run ersetzt die Referenz beim Start durch den echten Key und übergibt ihn an dein Programm. Dein Code liest die Variable ganz normal; er merkt nichts von der Referenz.
Liegt mein Key dann in der Cloud?
Nein. API Drop ist bewusst lokal-first: Der verschlüsselte Vault liegt auf deinem Rechner. Es gibt keine Server-Komponente und keine Telemetrie.
Worin unterscheidet es sich von Doppler oder Infisical?
Die Grundmechanik (run --) ist dieselbe. Der Unterschied: API Drop läuft ohne Konto, ohne Cloud und ist auf den einzelnen Entwickler und DSGVO-Konformität zugeschnitten – nicht auf Team-SaaS.
Auf welchen Systemen läuft es?
Windows, macOS und Linux. Der Resolver startet lediglich einen Kindprozess mit angereicherter Umgebung – keine System-Hooks, keine Admin-Rechte.
Gib deinem Key einen sicheren Ort.
Open Source. Kostenlos. Lokal. Star das Projekt und bleib bei der Entwicklung dabei.
Musik: „Abstract Timelapse Electronica" von ComaStudio (Pixabay)
Star on GitHub