はじめに
初心者が意識するセキュリティに関しての備忘録です。
初心者です😅
間違えてる部分が多々あると思います。
もし見つけた場合、ツッコミいただけると助かります🙇
🦁結論🦁
GitHubを覚えたら「環境変数」「.env」「git ignore」を適切に使えるといい。
GitHubでは公開をするのが基本になるため「APIキー」「アカウント情報」「データ」などの情報を漏らさないために最低限のセキュリティが必要。
環境変数
基本どこからでもアクセスできる。
.envファイルで定義しておくことで、管理がしやすく、コード上には漏洩してはいけない情報を書かなくていい。
import os
from dotenv import load_dotenv
load_dotenv()
login_id = os.getenv('LOGIN_ID')
.envファイル
ローカル環境で環境変数を管理するためのプレーンテキストファイルテンプレート。アプリケーションの実行環境に応じて読み込まれる変数を定義し、開発者間での環境設定の共有や、機密情報をソースコードから分離して管理するのに役立つ。
.env
# APIの設定
API_KEY='your_api_key_here'
API_SECRET='your_api_secret_here'
.gitignoreファイル
ファイルに指定したものは、GitHubでコミットしても公開されない。
.envファイル、写真や動画などのデータ、ログファイル、公開の必要のないテストファイル、データが蓄積されたcsvファイルなど、プロジェクトのリポジトリに含めることにより、不要なファイルのコミットを防ぎ、機密情報の誤公開を避けることができる。
.gitignore
# 特定のファイルを無視
.env
# ディレクトリ全体を無視
build/
# ログファイルと一時ファイル
*.log
*.tmp
*.temp
# 特定のパターンにマッチするファイルを無視
*.jpeg
*.mp4
# testと付くファイル全て無視
*test*
押さえておくべき点
- 「環境変数」「.env」「git ignore」はプロジェクトを始めた際に用意する。
注意点
- .envファイルと.gitignoreは、ファインダーなどで通常は見えない→隠しファイルとして扱われ、特殊コマンドで可視化できる。
まとめ😺
私はこれを知らずにGitHubにプッシュした結果、Googleなどから通知が来て驚いた経験があります💦
セキュリティの観点、操作性の観点などからもより良いやり方を時間があれば見つけていきたいなと思います。