.env
env file
.envは、一般に以下2つの動機を混同して管理している
環境ごとに異なる(機密情報でない)変数を書きたい
ref .envで環境ごとに異なる変数を扱う
機密情報を書きたい
envという名前から推察するに、本来の目的は前者のみのはずmrsekut.icon
.envに関する議論はこの2つを分けないとごっちゃになる
例えば、責務が前者だけの場合、Gitで管理することは何の問題もない
.envに機密情報を書いた場合のリスク
Gitで管理することで起きるリスク
ref 機密情報が含まれる.envをGitで管理することで生じるリスク
コードに機密情報が埋め込まれることによるリスク
ref 機密情報をコードに埋め込むことで生じるリスク
#WIP
じゃあどうやって機密情報を扱えばよいのか
Secret Manager
https://medium.com/@tony.infisical/the-death-of-the-env-file-6d65bfc6ac5e
.envの代わりにSecret Managerを使おう
envfileの問題点
envはgitとは別の手段で共有するが、それを忘れがち
なので壊れがち
チームが大きいほど問題になりやすい
.envを誤ってpublic repoにcommitすると漏洩する
envとsmを組み合わせて使うハイブリットアプローチの提案
envにはsmのaccess tokenのみを保存しておく
他の情報はsmからfetchして使う
smの情報を使う関数を全てasyncにするか、injectionする必要があるのねmrsekut.icon
secure-env
https://www.npmjs.com/package/secure-env
.envの内容を暗号化するlibrary
どうやって複合する #??
envkey
https://www.envkey.com/
env-cmd
秘匿情報が必要なときは毎回serverから配信すれば良い
valibot-env
https://zenn.dev/chot/articles/abount-valibot-env
Valibot
Next.js使っているならそのへんはカバーされているっぽいmrsekut.icon
が、envsafe使うと無意味になってない?
https://medium.com/swlh/keeping-env-variables-private-in-react-app-fa44a9b33c31
どこまでが機密情報なのか?
開発環境のURLは秘匿情報か?
わざわざ公開してもリスクが増えるだけなので秘匿情報として扱いたい
GitHubで「add env」で検索する
https://github.com/search?o=desc&q=add+env&s=committer-date&type=Commits
ひぇっmrsekut.icon
安全なものに書き換えていても、diff見りゃ残ってるんだよな...
git logから機密情報を削除する