Stop Putting Secrets in .env Files
3 months ago
- #devops
- #best-practices
- #security
- 文章讨论了将凭证以明文形式存储在.env文件中的风险。
- 提出了一种解决方案,即使用1Password或macOS钥匙串等安全存储来管理密钥。
- 该模式涉及在运行时获取密钥并将其作为环境变量注入,避免在磁盘上以明文形式存储。
- 1Password CLI允许在文件中使用密钥引用,这些文件可以安全地提交到版本控制中。
- macOS钥匙串也可以用作内置的密钥管理器,但需要更多手动设置。
- 优点包括为凭证提供单一真实来源、简化入职流程以及更好的审计能力。
- 该方法与语言和框架无关,适用于任何读取环境变量的工具。
- 提供了一个演示仓库,可以尝试1Password和钥匙串的实现。