我的.env存储在我的git repo上,后者发布到heroku和bitbucket。
我知道发布.env github很糟糕,但是 因为bitbucket是私有的,而heroku是用于生产的,我的任何秘密密钥/值是否都处于危险之中?
答案 0 :(得分:0)
你的bitbucket repo是私有的,所以你在那里存储的任何内容只有你明确授权访问你的repo的人才能看到,除非当然bitbucket被黑了......
你需要通过" heroku config"为Heroku配置你的环境变量,所以它们也在你的git repo中的事实并没有真正妥协它们。同样,只有具有显式访问权限的人才能看到您的Heroku配置变量或访问您的Heroku git仓库。
答案 1 :(得分:0)
理论上,没有。但我不会依赖将秘密存储到一个被复制的存储库(即一个git repo)
至少考虑" Configuration and Config Vars":
处理此类配置变量的传统方法是将它们放在源代码下 - 在某种属性文件中。这是一个容易出错的过程,对于开源应用来说尤其复杂,因为开源应用通常需要使用特定于应用的配置来维护单独的(和私有的)分支。
更好的解决方案是使用环境变量,并将密钥保留在代码之外。在传统主机上或在本地工作,您可以在bashrc文件中设置环境变量。在Heroku上,您使用配置变量。
使用Heroku CLI的配置
config:set,config:get和config:unset来管理配置变量