安全性

.env.me

.env.me 檔案會以獨特的方式授權您存取專案共用的 .env 檔案。您可以將它視為您在 GitHub 上的唯一 SSH 金鑰。

但是 .env.me 憑證比 GitHub 的 SSH 金鑰具有更嚴格的安全性措施。GitHub SSH 金鑰允許完全存取您的所有儲存庫。我們認為這樣太危險了。因此，我們限制了授權範圍。

.env.me 憑證會授權您的機器對應至單一專案。換句話說，您機器上的每個獨特專案都會有一個獨特的 .env.me 憑證檔案。這些檔案是透過 CLI (在某些情況下透過 UI) 並透過經過驗證的驗證方法產生，從而最大限度地減少管理多個憑證的複雜性。

這一切都是經過設計的。這樣，如果攻擊者以某種方式存取了您的 .env.me 憑證 (可能是您不小心將它提交到了原始碼控制)，他們將無法存取您的所有機密。然後，您可以只為該專案輪換您的 .env.me 憑證，手動輪換或自動輪換 (即將推出) 該專案的機密，然後繼續。身為 CTO、CSO 或新創公司創辦人，這有助於您減輕安全漏洞造成的影響，讓您與眾不同。事實上，您在這方面的安全衛生將比大多數銀行和財星 500 強公司更好。

範例

以下是 .env.me 檔案的範例

DOTENV_ME=me_b1831e4…

您可能會注意到的第一件事是其格式與 .env 檔案相同。這是有意的，目的是為了盡可能實現未來的互通性，就像 .env.vault 檔案一樣。

DOTENV_ME 金鑰將會是此檔案中包含的唯一值。請妥善保管，並避免將其放在原始碼控制中，就像您的 .env 檔案一樣。

產生

您可以在 vault.dotenv.org 或使用 dotenv-vault 產生 .env.me 檔案。授權流程遵循與世界級授權流程相似的模式，這些流程可在 Heroku 的 CLI 和 Vercel 的 CLI 等 CLI 工具中找到。它既安全又簡單。