.env Dosyalarını ve Ortam Değişkenlerini Ekibinizle Güvenle Paylaşma
Veritabanı şifrelerini ve API anahtarlarını Slack'ten göndermeyi bırakın. İşte .env dosyalarını geliştirme ekibinizle güvenle paylaşmanın yolları -- hızlı çözümlerden uzun vadeli çözümlere.
.env Dosyalarını ve Ortam Değişkenlerini Ekibinizle Güvenle Paylaşma
Hepimizin Korktuğu Oryantasyon Anı
Ekibe yeni bir geliştirici katılır. Yerel ortamını kuruyor ve kaçınılmaz soruyu sorar:
"Biri bana .env dosyasını gönderebilir mi?"
Sonra olan şey tahmin edilebilir derecede üzücüdür. Kıdemli bir geliştirici .env dosyasının tüm içeriğini -- veritabanı şifreleri, API anahtarları, üçüncü parti gizli anahtarlar -- kopyalayıp Slack DM'e veya WhatsApp'a yapıştırır. O mesaj artık bir sunucuda bir yerde yaşar, aranabilir, sonsuza dek.
.env Dosyalarını Güvensiz Paylaşmanın Tehlikeleri
.env dosyanız aslında bir kimlik bilgisi hazinesidir:
- Veritabanı bağlantı dizeleri -- host, port, kullanıcı adı, şifre, veritabanı adı
- API anahtarları -- Stripe, AWS, Firebase ve kötüye kullanılırsa gerçek para maliyeti olan diğer hizmetler
- Üçüncü parti gizli anahtarlar -- OAuth istemci gizli anahtarları, webhook imzalama anahtarları, şifreleme anahtarları
Güvenli .env Paylaşım Yolları
1. Gizli Anahtar Yöneticileri
Doppler, HashiCorp Vault ve AWS Secrets Manager bunun için özel olarak tasarlanmıştır.
2. Ekip Şifre Yöneticileri
1Password Teams ve Bitwarden Organization güvenli notlar olarak .env içeriğini saklayabilen paylaşımlı kasaları destekler.
3. Şifre Korumalı Kendi Kendini İmha Eden Notlar
Hızlı, tek seferlik paylaşım için -- yeni geliştirici oryantasyonu gibi -- LOCK.PUB iyi çalışır. .env içeriğinizi gizli nota yapıştırın, şifre ve son kullanma süresi belirleyin, ardından linki Slack'ten ve şifreyi ayrı bir kanaldan paylaşın.
4. GPG Şifreli Dosyalar
Güvenlik bilincine sahip ekipler için .env dosyasını paylaşmadan önce GPG ile şifreleyebilirsiniz.
.env Yönetimi İçin En İyi Uygulamalar
.env'yi hemen.gitignore'a ekleyin.env.exampledosyası tutun -- yer tutucu değerlerle- Ortam başına farklı kimlik bilgileri kullanın
- Gizli anahtarları düzenli olarak değiştirin
- Kişiler ayrıldığında erişimi iptal edin
Gizli Anahtarları Düz Metin Göndermeyi Bırakın
.env dosyalarını paylaşmak küçük bir iş akışı detayı gibi görünebilir, ama en yaygın kimlik bilgisi sızıntısı kaynaklarından biridir. İster tam bir gizli anahtar yöneticisine yatırım yapın ister kimlik bilgilerini son kullanma tarihi ile paylaşmak için LOCK.PUB kullanın, önemli olan gizli anahtarları sohbet mesajlarına yapıştırma alışkanlığını kırmaktır.
Keywords
You might also like
e-Devlet Phishing Korunma Rehberi: Hesabınızı Dolandırıcılardan Nasıl Korursunuz?
e-Devlet kullanıcılarını hedef alan phishing dolandırıcılıklarını nasıl tespit edeceğinizi ve bunlardan nasıl korunacağınızı öğrenin. Sahte hesap askıya alma bildirimleri ve kimlik bilgisi çalma saldırılarından korunun.
GİB Vergi Phishing'i: Sahte Vergi E-postalarını ve Portallarını Nasıl Tanırsınız?
GİB'i (Gelir İdaresi Başkanlığı) taklit eden phishing saldırılarını nasıl tespit edeceğinizi öğrenin. Sahte vergi iadesi e-postaları, sahte e-beyanname portalları ve Türkiye'nin vergi dönemine zamanlanmış dolandırıcılıklar.
KVKK Gizlilik Rehberi: Türkiye'de Kişisel Veri Haklarınız
KVKK (Kişisel Verilerin Korunması Kanunu) kapsamındaki haklarınızı anlayın. Veri silme talebi nasıl yapılır, şikayet nasıl dosyalanır ve gizlilik haklarınızı nasıl kullanırsınız öğrenin.
Create your password-protected link now
Create password-protected links, secret memos, and encrypted chats for free.
Get Started Free