安全

.env.me

.env.me 文件对您访问项目共享的 .env 文件进行唯一授权。您可以将其视为您在 GitHub 上的唯一 SSH 密钥。

但 .env.me 凭据比 GitHub 的 SSH 密钥具有更严格的安全措施。GitHub SSH 密钥允许完全访问您所有的存储库。我们认为这太危险了。因此我们限制了授权范围。

.env.me 凭据会将您的机器授权到单个项目。换句话说，对于您机器上的每个唯一项目，您将拥有一个唯一的 .env.me 凭据文件。这些文件是通过 cli（在某些情况下是 ui）以及经过验证的身份验证方法生成的 - 最大程度地减少了管理多个凭据的复杂性。

这一切都是经过设计的。这样，如果攻击者以某种方式获得了您的 .env.me 凭据（也许您不小心将其提交到了源代码控制中），他们将无法访问您的所有密钥。然后，您可以只针对该项目轮换您的 .env.me 凭据，手动轮换或自动轮换（即将推出）该项目的密钥，然后继续您的操作。作为 CTO、CSO 或创业公司创始人，这有助于您减轻安全漏洞造成的影响 - 使您与其他人脱颖而出。实际上，在这一点上，您的安全卫生会比大多数银行和财富 500 强公司更好。

示例

以下是一个 .env.me 文件的示例

DOTENV_ME=me_b1831e4…

您可能会注意到的第一件事是格式与 .env 文件相同。这是有意为之，以便最大程度地提高未来的互操作性 - 就像 .env.vault 文件一样。

DOTENV_ME 密钥将是此文件包含的唯一值。请妥善保管，不要将其提交到源代码控制中 - 就像您的 .env 文件一样。

生成

您可以在 vault.dotenv.org 或使用 dotenv-vault 生成 .env.me 文件。授权流程遵循与 Heroku 的 cli 等 cli 工具中世界级授权流程类似的模式 Heroku 的 cli 和 Vercel 的 cli。它既安全又简单。