posthog-security-basics

Skill do zarządzania bezpieczeństwem integracji PostHoga. Nauczy Cię rozróżniać między kluczem projektu (phc_) a kluczem osobistym (phx_), prawidłowo przechowywać sekrety w zmiennych środowiskowych, tworzyć klucze o ograniczonych uprawnieniach i chronić repozytorium przed wyciekami danych. Idealne, gdy chcesz wdrożyć least-privilege access, rotować klucze API lub przeprowadzić audyt konfiguracji bezpieczeństwa PostHoga.

1. Zainstaluj skill w swoim środowisku Claude Code lub Codex, dodając go do zestawu dostępnych umiejętności agenta.

2. Wyzwól skill, używając fraz takich jak "posthog security", "posthog secrets", "secure posthog", "posthog API key security" lub "posthog key rotation" w rozmowie z agentem.

3. Zapoznaj się z dwoma typami kluczy: klucz projektu (phc_) jest publiczny i bezpieczny do umieszczenia w kodzie frontendu, natomiast klucz osobisty (phx_) daje dostęp administratora i nigdy nie powinien być ujawniany.

4. Skonfiguruj plik .env w katalogu projektu, umieszczając klucz projektu w zmiennej z prefiksem NEXT_PUBLIC_ (dostępna dla frontendu) i klucz osobisty w zmiennej bez tego prefiksu (tylko serwer). Dodaj .env i .env.local do .gitignore.

5. Jeśli potrzebujesz ograniczyć uprawnienia, użyj API PostHoga do utworzenia scoped personal API keys — na przykład klucza tylko do odczytu dla dashboardów BI, zamiast udostępniać główny klucz osobisty.

6. Regularnie sprawdzaj historię commitów w repozytorium za pomocą narzędzi grep, aby upewnić się, że żaden klucz osobisty nie został przypadkowo zacommitowany, i wdrażaj automatyczne skanowanie przed commitem.