Show GN: LocalKeys - .env를 대체하기 위한 로컬 시크릿 관리자
(localkeys.privatestater.com)제작 이유
-
관리 어려움
보통 .env 파일은 하나의 프로젝트마다 위치하게 되는데 프로젝트 수가 늘어날수록 관리하기가 어렵습니다. (하나의 키를 바꾸면 나머지도 다 찾아서 바꿔야 하는 등의 문제 발생) -
보안 문제
비밀 키들이 숨김 상태만 된 채 저장되어있기 때문에 실수로 커밋하거나 압축 파일에 포함되는 사용자의 실수로 인해 유출되거나 극단적으로는 바이러스같은 악성 프로그램들이 탈취할수 있습니다.
대표 기능
우선 로컬 기반이고 AES256으로 암호화되어 ~/.localkeys에 안전하게 보관됩니다.
이게 메인 기능이라고 생각되는데, 다른 프로세스가 시크릿을 사용하려고 하면 사용자에게 승인을 묻는 창이 뜨는데 승인을 할수도 있고 거절을 할수도 있습니다.
거절하면 그 프로그램은 거절한 시크릿에 접근하지 못하게 됩니다.
npm start와 같은 명령어도 localkeys run --project-myapp -- npm start 형태로 실행하여 바로 사용 가능합니다.
이 명령어는 지금 개발된걸로는 실제로 써보니까 좀 긴거같아서 --project 부분은 없어도 되도록 바꿀 예정입니다.
마지막으로 .env 파일에 있던걸 localkeys로 옮기고 기존 파일을 삭제하기만 하면 셋팅이 끝납니다.
(기존 작업 환경을 최대한 적게 바꿔도 되도록 만들었습니다.)
출시
아직 정식 출시는 안했지만 우선 메일링 리스트부터 받고 있습니다.
정식 출시는 한 1~2달정도 뒤에 할것같고 그 전에도 무료 얼리 엑세스로 피드백을 받을 예정입니다.
varlock은 검증이랑 타입 관리를 위한 dotenv의 상위 호환 느낌이고, localkeys는 dotenv를 대체하고 암호화된 공간에만 보관하는 보안쪽에 더 가깝습니다.
그래서 비슷한 카테고리지만 다른 방식의 도구라고 생각해주시면 좋을것 같습니다.
varlock 대비 localkeys의 장점으로는 시크릿들이 암호화되어서 저장된다는것과 기본 기능으로도 사용자의 승인이 있어야만 다른 프로세스가 시크릿을 사용할수 있다는 점이 있을것 같습니다!
show에 적절하지 않은 글로 느껴집니다.
"사용자가 사용해 볼 수 없는 상태라면 아직 올리지 마세요. 다른 사람이 사용할 준비가 되었을 때 올려주세요. 랜딩 페이지를 올리는 용도로 사용하지 마세요."
현재는 단순 메일링 리스트만 받고 있다면 준비가 더 된 뒤에 올려주시는게 좋지 않을까 싶습니다.