Chaque clé a un nom, une valeur chiffrée (AES-256-GCM) et des règles de
gouvernance optionnelles.
Host-lock
Verrouille une clé à un seul domaine (allowedHost). Via le proxy, elle ne peut
partir que vers ce domaine, jamais ailleurs.
OPENAI_KEY → verrouillée à api.openai.com
Même volée par une dépendance compromise, une clé host-lockée ne peut pas être
exfiltrée vers un autre serveur. Le proxy bloque (403).
Valeur masquée en permanence
Une clé peut être marquée non révélable : sa valeur ne pourra jamais être affichée
dans l’interface, mais reste utilisable via le proxy / CLI.