PushEnv：一种全新的加密方式来管理 .env 文件（无需 SaaS，无服务器）🔐

Source: Dev.to

环境变量支配一切，但它们的管理仍然混乱、风险高且过时。
PushEnv 是一种 本地优先、加密、Git 风格的工作流，用于 .env 文件，消除了对 SaaS、服务器、仪表盘或登录的需求。

.env 文件的问题

• 密钥被提交到 Git
• 密钥被粘贴到 Slack
• .env.example 很快就会过时
• 团队成员会拥有不同的版本
• CI 日志可能泄露密钥
• Docker 镜像可能携带 .env 文件
• 没有历史记录、回滚或审计轨迹

大多数团队依赖 “只要不提交 .env” 的做法，这更像是抱有希望而不是策略，并且仍然需要信任服务器端服务。

介绍 PushEnv

一个 针对 .env 文件的 Git，具备以下特性：

• 在离开机器前就已加密（AES‑256‑GCM）
• 零知识：密码短语从不被存储
• 无服务器：仅上传密文到受管存储桶
• 无账号、无锁定、无仪表盘
• 完整的版本历史、差异和回滚功能
• 开源（MIT 许可证）

PushEnv 工作原理

1. 初始化项目

pushenv init

• 选择环境并设置密码短语。
• 生成：
  • .pushenv/config.json — 可安全提交
  • ~/.pushenv/keys.json — 本地密钥环（永不提交）

2. 推送密钥

pushenv push -m "Initial setup"

• 本地加密你的 .env。
• 仅上传并对密文进行版本管理。
• 明文永不离开你的机器。

3. 在任何地方拉取密钥

pushenv pull

• 在本地解密并安全注入变量。
• 适用于 CI 流水线、Docker 构建或任何临时环境。

4. 运行应用而不将密钥写入磁盘

pushenv run "npm start"

• 密钥仅存在于内存中，进程退出后即消失。

支持的运行时包括 Node/Next/Nest、Python、Go、Docker/Kubernetes、GitHub Actions、AWS、Cloudflare、Vercel、S3/R2/MinIO 等。

安装与基本命令

npm install -g pushenv
pushenv init
pushenv push -m "First secrets"
pushenv pull
pushenv run "npm start"

其他命令：pushenv pull、pushenv diff、pushenv rollback 等。

在哪里可以找到 PushEnv

• GitHub:
• npm:

结论

PushEnv 为开发者提供了一种 更安全、更简洁、更透明 的环境变量管理方式——无需依赖 SaaS、存储明文或丢失历史记录。它不仅是一个替代方案，更是一种全新的密钥管理方法。