我对
.env.env提前感谢您的帮助:)
正如您所提到的,将机密存储在存储库中并不是一个好主意。 如果您正在讨论生产秘密,那么通常您根本不希望这些秘密出现在开发人员计算机上,并且您可以使用某种秘密存储。 例如,您的 CI 系统(例如 Travis CI 或 GitHub Actions)通常有一种方法来存储您在部署代码时可以使用的机密。 这将使它们保持加密状态,除非您进行部署,否则它们不会被暴露。
其他一些环境也使用更通用的秘密存储,例如 Vault。 这不仅有利于生产,而且还可以用于存储开发秘密(应该不同并且访问权限有限)。 如果您有在生产中使用的堡垒或 shell 主机,您可以授予开发人员访问该系统上的开发机密的权限,并在设置存储库时使用存储库中的脚本自动获取它们。 然后它们将被存储在安全的位置,如果需要轮换它们,开发人员只需运行脚本即可获取新的。
一般来说,您应该尽可能地使用某种秘密存储,并确保用户在获得访问权限之前经过完全身份验证(最好使用强密码和某种 2FA 机制)。 如果您这样做,那么共享秘密就会变得不那么麻烦,因为这只是提供对秘密存储的访问权限的问题。
请注意,
.env.env.env.gitignore您尝试过像 envchest.com 这样的工具吗?