Node.js ENV VAR Security

2

Recentemente ho avuto un dibattito con un collega dev su dove memorizzare Node.js env vars.

Io uso sempre i file .env e li carico come VAR ENV corretti in fase di esecuzione, tuttavia il mio compagno dev utilizza i file di configurazione JSON e li carica come variabili di runtime nell'app Node.js.

Nessun file (il .env o il config.json) vengono aggiunti a git per ovvi motivi.

La mia domanda. Da una prospettiva di sicurezza che è il metodo migliore?

NOTE:

  • i file .env dovrebbero essere più veloci per caricare quello .json (senza analisi json)
  • da ciò che posso raccogliere le chiavi config.json sono memorizzate nelle variabili globali del nodo
  • entrambi possono essere sovrascritti in fase di runtime, se necessario
  • il tipo di dati memorizzati in ogni var può essere ampio come sali, configurazioni del server, numeri, percorsi ecc. Praticamente qualsiasi informazione che l'applicazione Node dovrà eseguire.
posta Trickycm 03.10.2017 - 12:30
fonte

0 risposte

Leggi altre domande sui tag