Env 파일을 공유하는 것을 멈추세요: Node에서 설정을 관리하는 더 안전한 방법
요약
환경 변수(.env)를 직접 공유하는 보안 위험을 방지하기 위해 env 스키마를 사용하는 방법을 제안합니다. envlint 도구를 사용하여 실제 비밀 값 없이 키, 타입, 기본값만 정의된 스키마를 관리하고 검증할 수 있습니다.
핵심 포인트
- 채팅창을 통한 자격 증명 공유는 보안 유출 위험이 높음
- 비밀 값 대신 키와 타입을 정의한 스키마 공유 권장
- envlint를 활용한 로컬 설정 및 프로덕션 환경 검증
- CI 파이프라인에 통합하여 빌드 전 변수 누락 방지 가능
팀 단위로 작업하다 보면 모두가 한 번쯤은 이런 메시지를 본 적이 있을 것입니다: "누가 저한테 스테이징(staging) env 키 좀 DM으로 보내주실 수 있나요?"
Slack, Discord 또는 Teams에 자격 증명(credentials)을 붙여넣는 것은 보안 위험을 초래합니다. 만약 토큰이 채팅 기록에 유출되면, 영원히 검색 가능한 상태로 남게 됩니다.
Env 파일을 공유하는 대신, env 스키마(schema)를 공유해야 합니다. 스키마는 필요한 키(keys), 타입(types), 그리고 기본값(defaults)을 정의하지만, 실제 비밀 값(secrets)은 포함하지 않습니다.
2분 안에 스키마 검증(schema validation)을 설정하는 방법은 다음과 같습니다:
-
검증 도구를 설치합니다:
npm install -g envlint -
기존 환경으로부터 스키마를 생성합니다:
envlint init
이렇게 하면 .env.schema 파일이 생성됩니다. 내용은 다음과 같은 형태입니다:
PORT optional type=port default=3000
DATABASE_URL required type=string
DEBUG_MODE optional type=boolean default=false
-
스키마 파일을 Git에 커밋합니다. 이제 팀원들은 다음 명령어를 실행하여 로컬 설정을 검증할 수 있습니다:
envlint check -
환경을 안전하게 비교합니다:
로컬 설정이 프로덕션(production)과 일치하는지 확인해야 한다면, 다음을 실행하세요:
envlint diff .env .env.production
도구는 어떤 키가 존재하거나 누락되었는지를 보여주는 표를 출력하지만, 실제 값(actual values)은 절대 출력하지 않습니다. 자격 증명을 유출하지 않고도 출력 내용을 팀 채팅창에 복사하여 붙여넣을 수 있습니다.
또한 CI 파이프라인(pipeline)에서 실행하여 코드가 빌드되기 전에 누락된 변수를 잡아낼 수도 있습니다.
코드 및 문서: https://github.com/7xmohamed/envlint
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기