Переменные окружения для начинающих разработчиков или использование .env файла в разработке программного обеспечения

Что вас ожидает в этом руководстве

Безопасное управление конфиденциальными данными и настройками приложений может показаться сложной задачей для начинающих разработчиков. В этой статье мы разберем важные аспекты работы с переменными окружения, которые сделают вашу разработку более безопасной и эффективной.

Важно отметить, что рассмотренное решение не является лучшим способом для хранения секретных данных, однако, важность понимания принципов работы с переменными окружения сложно переоценить.

Начнем!

Что такое переменные окружения?

Переменные окружения — это значения, которые используются в различных командах и программных сценариях, выполняемых в операционной системе. Принципиально они работают точно так же, как переменные в языках программирования. Они представляют знакомые нам пары «ключ-значение» и используются для хранения параметров, настроек приложений, хранения ключей и других информационных данных.

Первый взгляд и практика

Давайте узнаем, какие переменные окружения уже есть в вашей операционной системе.

Примеры команд представлены для командной строки Windows и оболочки Unix (подобных) операционных систем отдельно.

CMD:

set

Bash:

printenv

Таким образом, вы увидите список переменных, которые уже существуют в окружении.

Взгляните внимательно на переменную окружения с именем PATH. Она имеет очень большое значение и содержит пути к директориям, содержащим исполняемые файлы программ. Когда мы обращаемся к различному программному обеспечению, используя его имя:

node main.js

Исполняемый файл с именем node (или node.exe для Windows) должен находиться в директориях, перечисленных в переменной окружения PATH. Если найти его не удастся, вы получите сообщение об ошибке:

command not found: node

или

"node" is not recognized as an internal or external command, operable program or batch file.

Если node.js уже установлен в операционной системе, но вы хотите ознакомиться с сообщением об ошибке из примера, используйте вместо node другой набор символов, который не будет соответствовать ни одному исполняемому файлу в директориях, перечисленных в PATH. Например, foo, bar или вовсе abracadabra123.

Если у вас уже установлена требуемая программа, но ее расположение отсутствует в переменной PATH, можно использовать полный путь к файлу в команде:

CMD:

"C:\Program Files\nodejs\node.exe" main.js

Bash:

# пример для nvm
/root/.nvm/versions/node/v16.18.0/bin/node main.js 

Напротив, если программа установлена и место ее расположения присутствует в переменной PATH, вы сможете узнать ее точное расположение следующим образом:

CMD:

where node

Bash:

echo $MSG

Создание, использование и удаление переменных окружения

Попробуем создать новую переменную:

CMD:

# Переменная доступна только для текущего сеанса командной строки
set MSG=hello

# Необходим перезапуск сессии командной строки
# Такая переменная останется доступной даже после перезапуска операционной системы 
setx MSG hello /M /D

Bash:

# Переменная доступна только для текущего сеанса терминала:
MSG=hello

# Необходим перезапуск сессии терминала,
# но переменная доступна для всех дочерних процессов 
export MSG=hello

# Чтобы сделать переменную доступной после перезагрузки операционной системы,
# необходимо добавить ее объявление в соответствующий файл конфигурации вашей оболочки
# .bashrc для Bash
echo 'export MSG=hello' >> ~/.bashrc
source ~/.bashrc

# .zshrc для Zsh
echo 'export MSG=hello' >> ~/.zshrc
source ~/.zshrc

Обратите внимание: так как переменные окружения являются константами, то общепринято писать их названия в верхнем регистре.

Пробуем использовать новую переменную:

CMD:

echo %MSG%

Bash:

echo $MSG

Теперь удаляем переменную:

CMD:

set MSG=
setx MSG ''

Bash:

unset MSG
# Также не забывайте удалить объявление переменной из файла
# конфигурации оболочки, если она была объявлена в нем. В противном
# случае, после перезапуска операционной системы переменная снова
# будет создана

Конфиденциальные данные в приложении

Наше программное обеспечение использует различного рода конфиденциальную информацию для полноценной работы. Такой информацией может оказаться API/SSH ключ, пароль для подключения к базе данных, ssl-сертификат или нечто похожее. Если мы расположим эти данные внутри нашего публичного хранилища исходного кода, произойдет их компрометация. Даже в случае, если хранилище приватное, расположение секретной информации означает, что все его коллабораторы или пользователи получают доступ к закрытой информации.

Однако мы можем избежать таких рисков, переместив секретную информацию за пределы хранилища и заменив ее ссылками на место, где она безопасно хранится. Такой подход обеспечивает высокий уровень безопасности, поскольку каждый пользователь будет иметь доступ только к собственному месту хранения конфиденциальных данных. Например, каждый пользователь может иметь свой пароль к локальной базе данных, и его ссылка будет указывать именно на личное хранилище с этим паролем.

Использование внешних хранилищ для секретных данных позволяет нам эффективно управлять доступом к этой информации и предотвратить несанкционированный доступ. Кроме того, это делает сотрудничество в команде более безопасным. Этот подход также облегчает ротацию ключей и паролей без необходимости изменения кода приложения, что повышает уровень защиты и снижает риски для безопасности данных.

Хранение секретных данных в переменных окружения

Рассмотрим в качестве хранилища секретных данных переменные окружения.

Давайте представим, что нашему приложению необходимо подключение к базе данных. В этом случае мы создадим несколько переменных среды, разместив в них необходимую информацию на сервере:

Сервер

echo 'export DB_HOST=srv_db_host' >> ~/.bashrc
echo 'export DB_PORT=srv_db_port' >> ~/.bashrc
echo 'export DB_NAME=srv_db_name' >> ~/.bashrc
echo 'export DB_USER=srv_db_user' >> ~/.bashrc
echo 'export DB_PASSWORD=srv_db_password' >> ~/.bashrc

source ~/.bashrc

Рабочее место разработчика

echo 'export DB_HOST=local_db_host' >> ~/.bashrc
echo 'export DB_PORT=local_db_port' >> ~/.bashrc
echo 'export DB_NAME=local_db_name' >> ~/.bashrc
echo 'export DB_USER=local_db_user' >> ~/.bashrc
echo 'export DB_PASSWORD=local_db_password' >> ~/.bashrc

source ~/.bashrc

Внимание! Располагать переменные окружения в файле bashrc без ограничения доступа к нему посторонним лицам неприемлемо, информация предоставлена только в демонстративных целях!

Теперь мы можем получить доступ к этим переменным внутри приложения:

Node.js

/*
process.env является глобальной переменной внутри node.jsприложения.
Она хранит в себе состояние всех переменных окружения ОС
на момент запуска приложения.
*/

const dbHost = process.env.DB_HOST;
const dbPort = process.env.DB_PORT;
const dbName = process.env.DB_NAME;
const dbUser = process.env.DB_USER;
const dbPassword = process.env.DB_PASSWORD;

Python

'''
В языке программирования python доступ к переменным окружения
возможно получить с использованием модуля OS. 
'''

import os

db_host = os.environ['DB_HOST']
db_port = os.environ['DB_PORT']
db_name = os.environ['DB_NAME']
db_user = os.environ['DB_USER']
db_password = os.environ['DB_PASSWORD']

Golang

/* 
в языке программирования Go доступ к переменным окружения осуществляется
c помощью пакета OS.
*/

package main

import (
	"os"
)

func main() {
	dbHost := os.Getenv("DB_HOST")
	dbPort := os.Getenv("DB_PORT")
	dbName := os.Getenv("DB_NAME")
	dbUser := os.Getenv("DB_USER")
	dbPassword := os.Getenv("DB_PASSWORD")
}

Использование файла .env для хранения переменных

Ранее мы рассмотрели, каким образом конфиденциальная информация может напрямую сохраняться в окружении операционной системы. Такой способ имеет некоторые недостатки. Эти переменные доступны не только для приложения.

Также есть некоторое неудобство их администрирования: они смешаны с переменными окружения, которые не нужны нашему приложению. Процесс замены значений переменных, в свою очередь, тоже не очень удобен.

Можем ли мы отделить необходимые переменные от остальных, сделать доступными только для приложения и управлять их состоянием удобным способом?
Да, мы можем воспользоваться практикой, ставшей золотым стандартом для решения этих проблем. Она заключается в использовании специальных библиотек, позволяющих при запуске приложения в его область видимости добавить ряд переменных, которые останутся недоступны другим процессам в операционной системе. Такие библиотеки присутствуют во всех популярных стеках разработки и используют в качестве хранилища специальный файл, оформленных строго определенным образом. Имя этого файла — .env (от англ. «environment»).

Синтаксис файла .env

Файл .env — это обычный текстовый файл без расширения с именем .env, каждая строка которого представляет собой пару ключ=значение. Вот пример записей переменных в такой файл:

DB_HOST=local_db_host
DB_PORT=local_db_port
DB_NAME=local_db_name
DB_USER=local_db_user
DB_PASSWORD=local_db_password

Давайте подключим этот файл в наше приложение, используя библиотеки, соответствующие необходимому стеку разработки:

Node.js:

/*
Установим библиотеку dotenv при помощи пакетного менеджера:
npm install dotenv
или
yarn add dotenv
*/

const dotenv = require('dotenv');
dotenv.config();

const dbHost = process.env.DB_HOST;
const dbPort = process.env.DB_PORT;
const dbName = process.env.DB_NAME;
const dbUser = process.env.DB_USER;
const dbPassword = process.env.DB_PASSWORD;

/* 
Объявленные переменные содержат соответствующие значения из .env файла.
Node.js версии 20 предоставляет экспериментальную поддержку .env файлов
без использования библиотеки "dotenv":
node --env-file=.env app.js
*/

Python:

# Установим пакет python-dotenv с помощью pip
# pip install python-dotenv

import os
from dotenv import load_dotenv

load_dotenv()

db_host = os.getenv("DB_HOST")
db_port = os.getenv("DB_PORT")
db_name = os.getenv("DB_NAME")
db_user = os.getenv("DB_USER")
db_password = os.getenv("DB_PASSWORD")

# Объявленные переменные содержат значения из .env файла и могут быть использованы

Golang:

/*
Установим пакет github.com/joho/godotenv с помощью go get
go get github.com/joho/godotenv
*/

package main

import (
	"github.com/joho/godotenv"
	"os"
)

func main() {
	err := godotenv.Load()

    if err != nil {
        log.Fatalf("Error loading .env file")
    }

	dbHost := os.Getenv("DB_HOST")
	dbPort := os.Getenv("DB_PORT")
	dbName := os.Getenv("DB_NAME")
	dbUser := os.Getenv("DB_USER")
	dbPassword := os.Getenv("DB_PASSWORD")

    // Объявленные переменные содержат значения из .env файла и могут быть использованы
}

ВНИМАНИЕ! Одна из важнейших целей использования .env в проекте — это отсутствие конфиденциальных данных в репозитории. Не забывайте позаботиться о добавлении .env в .gitignore, если вы используете git как систему контроля версий. Если используете альтернативную систему контроля версий, исключите .env в соответствии с технической документацией.

Разместите в .gitignore:

# Excluding the 
.env file.env

Такой подход хранения конфиденциальной информации можно наблюдать в большинстве крупных фреймворков или библиотек.

• Laravel — один из наиболее популярных фреймворков для разработки веб-приложений на PHP. Файл .env в Laravel используется для хранения настроек базы данных, настроек приложения, секретных ключей, параметров электронной почты и других конфигурационных параметров. Laravel автоматически загружает переменные окружения из файла .env при запуске приложения.

• Django — это фреймворк для разработки веб-приложений на Python. В проектах Django также распространено использование файла .env для хранения настроек базы данных, секретных ключей, настроек электронной почты и других конфигурационных параметров. Для загрузки переменных окружения из файла .env в Django обычно используется библиотека python-dotenv.

• Ruby on Rails — фреймворк для разработки веб-приложений на Ruby. В проектах Ruby on Rails также популярно использование файла .env для хранения конфигурационных параметров, включая параметры базы данных, ключи API и другие настройки. Для загрузки переменных окружения из файла .env в Ruby on Rails обычно используется библиотека dotenv-rails.

На практике многие разработчики используют файл .env в своих проектах, чтобы легко настраивать и хранить параметры окружения и секретные данные без необходимости отображения их в коде.

.env.example

Правилами хорошего тона считается создание файла с именем .env.example, который должен хранить список необходимых для заполнения переменных. Этот файл используется для документирования и предоставления возможного примера заполнения значений переменных окружения. Обратите внимание, он может находиться в репозитории, но при этом не должен содержать настоящей конфиденциальной информации.

Заключение

В данной статье были рассмотрены важные аспекты обработки конфиденциальной информации в приложениях. Мы познакомились с наиболее распространенным способом сокрытия конфиденциальной информации из репозиториев программного обеспечения.

Давайте помнить, что безопасное обращение с конфиденциальными данными — это важный аспект разработки программного обеспечения. Использование файла .env в сочетании с грамотно организованными переменными окружения помогает обеспечить защиту информации и упрощает настройку приложений для различных окружений.

Спасибо за внимание!