停止在 Node.js 中使用 .env 文件
将环境变量注入您的环境
像许多全栈开发人员一样,我通过 Udemy 上的在线课程开始涉足编程,在那里我学会了在 Heroku 上构建和部署应用程序。快进 5 年后,我的技术堆栈发展到包括 Next.js 和 Apollo GraphQL 等工具,但许多原则保持不变——其中一个原则是我如何在 Node.js 中使用 .env 文件处理环境变量。
对于上下文,如果您不熟悉 .env 文件,请在此处查看我的入门指南。它们是一种简单但有缺陷的存储环境变量的方法,因为它们很容易被错误处理。以下是我在开发团队中看到的一些常见问题:
将 .env 文件提交到版本控制:开发人员有时会忘记 git-ignore 他们的文件,并意外地将关键环境变量暴露给坏人,顺便说一下,他们现在使用机器人来抓取和检测泄露的文件——我以前做过这个并由检测泄漏文件的GitGuardian慷慨地保存(检查它们!)。
通过电子邮件发送敏感数据:即使在大中型公司中,开发人员也经常通过不安全的渠道发送完整的 .env 文件。如果不加以检查,敏感凭证可能会被拦截。
忘记向其他人更新新密钥:开发人员经常添加新的环境变量而忘记向其他人更新添加内容;这会导致文件不同步,调试起来很烦人。
很明显,需要一种更好的方法来防止环境变量意外泄露,阻止开发人员通过电子邮件发送变量以保持文件同步,并节省缺少密钥和配置的调试时间。
事实证明,更好的解决方案确实以秘密管理器的形式存在,允许您安全