Door johanw: Github scant er op en stuurt waarschuwings mails, maar het is niet zo absoluut natuurlijk. Ik heb een API key voor Google Maps maar die is alleen bruikbaar in een Android app die gesigned is met mijn apk signing key. Dus die kan rustig op Github terecht komen, zolang die apk signing key niet uitlekt kan niemand er iets mee.
Google zelf denkt daar anders over:
Maps Web Service APIs or Static Web APIs app protection methods
• Store API keys and signing secrets outside of your application’s source code. If you put your API keys or any other private information in environment variables or include files that are stored separately and then share your code, the API keys or signing secrets will not be included in the shared files.
• Store API keys or signing secrets in files outside of your application's source tree. If you store API keys or any other private information in files, keep the files outside your application's source tree to keep your keys out of your source code control system. This is particularly important if you use a public source code management system, such as GitHub.
https://developers.google.com/maps/api-security-best-practices#restrict_apikey