Lokal · Open Source · DSGVO-konform

Dein API-Key gehört
nicht in die Datei.

API Drop hält den echten Key verschlüsselt im lokalen Vault. In deiner .env steht nur eine harmlose Referenz – der echte Key wird erst beim Start eingesetzt. Nichts auf dem Bildschirm, nichts zu widerrufen.

.env · vorher exponiert
.env · mit API Drop OPENAI_API_KEY=apidrop://openai-api-1 sicher
bash
$ apidrop run -- python app.py
# echte Keys werden zur Laufzeit gesetzt – nie in der Datei, nie am Bildschirm
0
Mio.

offengelegte Secrets auf GitHub, allein 2024.

GitHub Blog, 2025

4,88 Mio. $

Ø Kosten pro Vorfall durch kompromittierte Zugangsdaten.

IBM Cost of a Data Breach Report, 2024

NHI2

Secret Leakage – Platz 2 der OWASP Non-Human Identities Top 10.

OWASP, 2025

01 apidrop://problem

Der Key steht da, wo ihn jeder sieht.

Ein API-Key wird schnell mal „temporär" in die .env geschrieben – und bleibt dort. Auf einem geteilten Bildschirm, in einem Screenshot, in einem Git-Commit, in einem YouTube-Tutorial. Wer live coded, kennt das Ritual danach: Key kopieren, Key widerrufen, hoffen, dass ihn in den Sekunden dazwischen niemand abgegriffen hat.

Automatisierte Scanner finden öffentliche Keys binnen Minuten. Genau deshalb ist der sicherste Key der, der nie im Klartext in der Datei landet. API Drop dreht den Ablauf um: In der Datei steht nur ein Name, der echte Key bleibt im verschlüsselten Vault.

02 apidrop://loesung

Drei Schritte. Kein neuer Workflow.

  1. 1

    Key in den Vault

    Key einmal einfügen (oder aus der Zwischenablage erkennen lassen). API Drop vergibt einen sprechenden Namen wie OpenAI API 1 und legt ihn AES-verschlüsselt lokal ab.

  2. 2

    Referenz in die .env

    Statt des Keys steht dort nur:

    OPENAI_API_KEY=apidrop://openai-api-1

    Harmlos auf Kamera, in Git, in Screenshots – es ist kein Geheimnis.

  3. 3

    Starten mit apidrop run

    apidrop run -- python app.py

    Der echte Key wird nur in die Umgebung des Programms gesetzt. Dein Code liest os.environ wie immer.

Dieselbe run ---Mechanik nutzen auch Doppler (doppler run) und Infisical (infisical run). API Drop bringt sie lokal, offline und ohne Konto.

03 apidrop://sicherheit

Vertrauen durch Zurückhaltung.

Lokal & offline

Keine Cloud, kein Konto, keine Übertragung. Der Vault liegt auf deinem Rechner – sonst nirgends.

AES-verschlüsselt

Keys werden mit deinem Master-Passwort verschlüsselt (PBKDF2 + Fernet/AES), nie im Klartext gespeichert.

DSGVO by design

Keine Google Fonts, keine CDNs, kein Tracking, keine Cookies. Datenminimierung ist der Ausgangszustand.

Open Source

Der Code ist einsehbar und prüfbar. Bei einem Sicherheits-Tool ist das keine Kür, sondern Voraussetzung.

04 apidrop://faq

Häufige Fragen

Wenn nur der Name in der .env steht – funktioniert mein Code dann noch?

Ja. apidrop run ersetzt die Referenz beim Start durch den echten Key und übergibt ihn an dein Programm. Dein Code liest die Variable ganz normal; er merkt nichts von der Referenz.

Liegt mein Key dann in der Cloud?

Nein. API Drop ist bewusst lokal-first: Der verschlüsselte Vault liegt auf deinem Rechner. Es gibt keine Server-Komponente und keine Telemetrie.

Worin unterscheidet es sich von Doppler oder Infisical?

Die Grundmechanik (run --) ist dieselbe. Der Unterschied: API Drop läuft ohne Konto, ohne Cloud und ist auf den einzelnen Entwickler und DSGVO-Konformität zugeschnitten – nicht auf Team-SaaS.

Auf welchen Systemen läuft es?

Windows, macOS und Linux. Der Resolver startet lediglich einen Kindprozess mit angereicherter Umgebung – keine System-Hooks, keine Admin-Rechte.

Gib deinem Key einen sicheren Ort.

Open Source. Kostenlos. Lokal. Star das Projekt und bleib bei der Entwicklung dabei.

Musik: „Abstract Timelapse Electronica" von ComaStudio (Pixabay)

Star on GitHub