Как улучшить управление секретными ключами API для моего приложения NodeJS, размещенного на Heroku?

Question

Я создал файл .env для документации dotenv и поместил все свои секретные ключи API внутри файла. Я также добавил эти переменные среды в качестве переменных конфигурации в мой экземпляр Heroku. В результате секретные строки API больше не упоминаются в моем исходном коде.

Однако я не использовал gitignor для файла .env, так как репозиторий git настроен как private, и я являюсь его единственным владельцем, но я slugignored для файла .env, чтобы он не был перенесен в Heroku.

Является ли мое оправдание не использовать gitignore файл .env безопасным, и я принимаю разумные и стандартные меры для защиты моих секретных строк API? Если нет, то как еще можно улучшить настройки, чтобы повысить безопасность моего веб-приложения?

Answer 1

Являются ли кредиты в .env такими же, как у вас в приложении heroku? Если так, то это плохо.

Кто-то, получивший доступ к вашей учетной записи GitHub, может также получить доступ к кредитам в вашем приложении Heroku. Посмотрите на эту ретроспективу Gentoo , где именно взломанная организация GitHub - именно то, что произошло.

Ваш .env файл должен иметь только локальные настройки. Например, она должна вызывать localhost в качестве базы данных, а не URL вашей рабочей базы данных.

Затем, когда все отделено от производства, этот файл можно безопасно проверить в вашем хранилище. Кто-то, получающий доступ к вашему коду, не получит доступа к вашим рабочим данным.