秘密管理器是一种用于存储和管理您的密码、API 密钥、数据库凭据以及应用程序所需的其他类型敏感数据的工具。

硬编码在应用程序源代码中或存储在纯文本文件中供代码使用的秘密可能会被恶意实体利用，这些恶意实体可以检查系统中的应用程序或组件。可以通过秘密管理器来减轻这种风险。

dotenv-vault

dotenv-vault 就是这样一个秘密管理器，它提供了一种将秘密放入代码中的更安全的替代方案。

[！笔记]
这不是使用 dotenv-vault 的教程。本文档的目的是解释秘密管理器如何帮助开发人员避免对秘密进行硬编码或将其存储在纯文本文件中。您可以在此处了解如何开始使用 dotenv-vault。

假设我有关于电影 星球大战：第五集中某个特定角色的敏感信息，我希望我的程序使用该信息。

def spoiler():
    spoiler = "Darth Vader is Luke Skywalker's father"
    return { "spoiler": spoiler }

我不会对信息进行硬编码，而是将其作为环境变量写入 .env 文件中：

SPOILER="Darth Vader is Luke Skywalker's father"

通过dotenv-vault，我的程序能够使用环境变量访问敏感信息。

import os
from dotenv_vault import load_dotenv

load_dotenv() # Take environment variables from .env

def spoiler():
    spoiler = os.getenv("SPOILER") # Get the secret
    return { "spoiler": spoiler }

然后我通过同步 .env 文件来加密环境变量。同步完成后，可以生成称为 DOTENV_KEY 的数据。我的程序可以将该输出读取为生产中的环境变量。

DOTENV_KEY='dotenv://:[email protected]/vault/.env.vault?environment=production' python main.py

因此，我的生产应用程序能够访问该秘密。

{ "spoiler": "Darth Vader is Luke Skywalker's father" }

选择适合您的 Secrets Manager

有多种可用的秘密管理解决方案。每个秘密管理器都有自己的优点和缺点。选择最适合您组织要求的选项。

替代秘密管理器列表：

1. 财政
2. 多普勒
3. HashiCorp Vault
4. AWS Secrets Manager
5. Azure Key Vault