我根据dotenv文档创建了一个.env文件,并将所有秘密API密钥放在文件中 . 我还将这些环境变量作为配置变量添加到我的Heroku实例中 . 因此,我的源代码中不再引用秘密API字符串 .
但是,我没有gitignored .env文件,因为git repo设置为private并且我是它的唯一所有者但是我已经使用了.env文件来阻止它被推入Heroku .
我的理由是不保证.env文件是安全的,是我采取合理的标准做法来保护我的秘密API字符串的步骤吗?如果没有,我还能如何改进我的设置以提高我的网络应用程序的安全性?
1 回答
.env
中的信用卡与您的heroku应用程序中的信用卡相同吗?如果是这样,这很糟糕 .有人访问您的GitHub帐户也可以访问您的Heroku应用程序中的信用卡 . 看看这个Gentoo retrospective,让他们的GitHub组织受到损害的正是发生的事情 .
您的
.env
文件应该只有本地设置 . 例如,它应该将localhost
称为数据库,而不是 生产环境 数据库URL .然后,一旦所有内容与 生产环境 分离,就可以安全地将此文件检入您的存储库 . 有人访问您的代码将无法访问您的 生产环境 数据 .