APIKey

[mitcon]

firebase.ts内にAPIKeyとか書いてあるのマズくないですか。
最悪の場合、firebaseをガッツリ使用されて請求来る可能性が…？
念のため、Private Repositoryに変更しておいたほうが良いのでは

[tamura2004]

この設定値は公開前提のものです。
例えばこいつ、https://dd5tools.web.app/、をHostingで公開していますが、
こちらのurl、https://dd5tools.web.app/__/firebase/init.js、で自動公開されていたりします。

どちらかというと、firestoreのアクセスルールをテストモードにしていると、そちらがリスクになります。テストモードでは、認証状況にかかわらずデータベースの読み書きを許可しているので。

ogisuinoteは、一部を除き認証時のみ読み書き許可しており、例外的にログイン画面に出力するメールドメイン名のみ、認証なしでの読み取りを許可しています。

monetaのfirebaseはテストモードなので、リスクありますが、firebaseの契約が無料のsparkプランなので、ガッツリ使用された場合は1日分の上限に到達して利用できなくなりますが、請求はありません。従量課金プランだと危ないようですが。

monetaはこの3連休でアクセスルール設定の予定です。
より慎重にいくなら、ＣＩツールに環境変数で設定して、ビルド時に環境変数から取得するようにするのかな。ちょっと試してみます。

[mitcon]

firebaseに無料プランというモノがあるのを知りませんでした。
従量課金プランだけかと思っていたので勉強になりました。
envファイルにKey等を書き出して非コミットで運用するみたいな手法もあるみたいですね