¿Es seguro controlar la versión de una key API para Google API?

Tengo una aplicación de Android de código abierto. Para utilizar, por ejemplo, la nueva API de conciencia, necesito tener una key de API que mi aplicación utilizará.

Ese se genera proporcionando el nombre del package y el SHA-1 del certificate.

El lugar donde está almacenado es el Manifest.xml que por supuesto está controlado por la versión .

¿Esto es seguro? Como mi proyecto es de código abierto, cualquiera podrá ver esta key, pero ¿puede usarla realmente? ¿Por qué?

PD Las instrucciones para lo anterior se pueden encontrar aquí

En lugar de controlar la versión, la colocaría en un file XML separado y la .gitignore en .gitignore . Puede hacer reference al file XML en el file de resources de cadena, y en lugar de usar la key de API codificada, use el recurso de cadena que corresponde a la key de API, como @string/API_KEY . Esa es una forma mucho más segura de hacer esto. De esta forma, no está abriendo su llave al acceso público, y la aplicación todavía tiene los datos correspondientes que necesita.