Смысл хранить «секреты» приложений через переменные окружения?

Question

[gpm7315]

Привет! Приведу в пример Мигеля Гринберга (мега-учебник Flask). Сначала он говорит, мол мы же олени хранить данные доступа к БД, почте и т.п. в настройках приложений, дабы злоумышленник не поимел нас. Мы умные и через консоль будем ручками вносить данные в переменные окружения (export DB_PASS=“qwerty”). Через главу — «мы же не олени каждый раз ручками одно и тоже, сохраним всё в файле .env» Собственно, смысл хранить «секреты» в файле .env, вместо файла config.py? Как-то принципиально меняется безопасность? O_o

Answer 1

[sim3x]

В конфигах хранятся не только секреты, но и настройки
Регулярно такие конфиги с секретами пушатся в открытые репы и регулярно все данные сливаются от таких беспечных граждан

Answer 2

[Decadal]

Разница в том что конфиги под гитом а окружение нет.
Потому что конфиги это инструкции "как настроить" приложение, а окружение - сами значения, которые нужно передать в настройки. Итак, конфиг знает, в каком виде и формате приложение принимает, например, настройки коннекта к базе(connection string например). А окружение это значения портов конкретной базы, пользователь конкретной базы, пароль конкретной базы и т.д.

Answer 3

[xmoonlight]

YOURAPPLICATION_SETTINGS
Читаем здесь и понимаем, что файл замены переменных окружения может находиться по произвольному пути.
Т.е. это сделанно именно для тех целей, чтобы случайно не выгрузить секреты на гит или не дать злоумышленнику получить к нему доступ из приложения (т.к. он находится ВНЕ приложения и доступ должен быть настроен верно!).
Также, сразу после установки переменных окружения, можно принудительно (дополнительно) сменить доступ/демонтировать источник с файлом замены переменных окружения.

Также, посмотрите на той же странице лучшие практики конфигурирования: здесь