Ключевое правило инфо-безопасности применительно к хранению API KEY: ЗАПРЕЩЕНО ХРАНИТЬ API KEY В ИСХОДНЫХ ТЕКСТАХ ПРИЛОЖЕНИЯ! Существуют интернет-боты, которые анализируют исходники приложений на GitHub и BitBucket с целью поиска в них API KEY с дальнейшим несанкционированным использованием вычислительных средств для собственных нужд. Как результат – можно получить счёт по услугам, оказанных мошенникам, на свой Google Account.
Крайне важно сразу же чётко указать для каких сервисов применим данный API KEY и какие конкретно приложения могут использовать этот API KEY.