dotenv-vault

安全性

安全性是一個不斷變動的目標，一場軍備競賽。但這並不代表它應該難以使用。良好的設計可以使複雜的事情變得簡單，而這正是我們在 Dotenv 所追求的。

背景

Dotenv 是一個安全工具。自 2013 年首次開發以來一直是如此。我們看到開發人員努力保護他們的機密，因此我們率先推出了 .env 檔案格式標準。這種設計帶來了更好的 DSX（開發人員安全體驗）- 這為數百萬開發人員帶來了更安全的機密。

問題

今天 .env 檔案的問題是什麼？世界已經改變。開發人員管理的機密規模比十年前更大。.env 檔案不容易在機器、環境和團隊成員之間共享。因此，開發人員經常透過 Slack 和電子郵件共享機密。這是不可擴展的，並且充滿安全風險。對於 CTO 或 CSO 來說，這是他們不應該承擔的風險。

競爭的解決方案

硬幣的另一面也不是很好。像 HashiCorp Vault 這樣的複雜安全軟體很難完全理解，並且引入了新的摩擦、複雜性和攻擊向量。摩擦和複雜性幾乎總是導致負面的安全事件，因為人們很懶惰。

但是，在軟體中，「懶惰」的另一個說法是優雅。開發人員經常選擇 .env，因為它是一個優雅的安全替代方案。優雅在安全性方面具有很大的價值，因為它可以提高個人朝著安全方向努力的可能性，而不是與之對抗。

總而言之，我們對於過去的歲月有一個優雅的解決方案，但今天卻出現了新的問題。我們該怎麼做？

.env.vault 解決方案

我們決定引入 .env.vault 檔案格式和一些支援的檔案格式，使同步、加密和部署您的機密在現代規模下既優雅又安全。

這是一個令人興奮的發展，我們希望您能與我們一起踏上這段旅程。我們記得當人們告訴我們 .env 檔案是不必要的、太簡單、只需將您的機密放入程式碼中時！等等。

今天，.env.vault 可以預期地受到一些相同的阻力，但我們同樣有信心 .env.vault 檔案格式標準將會遵循與 .env 檔案格式相同的採用軌跡。

盡早參與其開發和使用！試用它，為其開發做出貢獻，並使您的機密更加安全。