.env

.env 檔案格式是良好 DSX 的核心，自 2012 年 Heroku 引入，並在 2013 年由 dotenv node 模組（和其他程式庫）普及開來。

.env 檔案格式從開發人員的開發環境開始。它會被添加到每個專案中，但不會提交到原始碼控制。這為開發人員提供了一個單一的安全位置來儲存敏感的應用程式機密。

您能相信嗎？在引入 .env 檔案之前，幾乎所有開發人員都將機密以硬編碼字串的形式儲存在原始碼控制中。那才不過是 10 年前的事！

範例

以下是一個 .env 檔案的範例

# example .env file
STRIPE_API_KEY=scr_12345
TWILIO_API_KEY=abcd1234

它刻意設計得很簡單，因為身為安全專業人員，我們知道複雜性是安全的大敵。

您可以在這裡（或在其他實作這裡、這裡、這裡）閱讀更多關於其運作方式的資訊。它是保護開發機密的黃金標準 - 經過全球數百萬開發人員的驗證和信任。

但世界已經改變，開發人員管理機密的規模比十年前大得多。現在，在機器、環境和團隊成員之間安全地共享 .env 檔案很困難。因此，開發人員經常透過 Slack、電子郵件、簡訊和便利貼來分享機密。這種方式不具備可擴展性，而且充滿安全風險。對於 CTO 或 CSO 來說，這是不應該承擔的風險。

幸運的是，這種情況正在改變。我們一直在擴展 .env 檔案格式以支援安全共享。

.env 檔案格式仍將是安全的核心。但我們新增了兩個新的擴展。它們不是必要的。它們是選用的，但我們強烈建議團隊使用它們。它們是

在下一組安全文件中，您可以閱讀這些擴展如何與您的 .env 檔案一起運作，以顯著提高安全性。這是應用程式機密安全性的下一個巨大飛躍，就像最初的 .env 檔案格式一樣，我們努力將複雜性降至最低，以提高安全性。