ทำไมไม่ควร Commit ไฟล์ .env, credentials และ secrets เข้า Git

Categories

ทำไมไม่ควร Commit ไฟล์ .env, Credentials และ Secrets เข้า Git

การจัดการความเสี่ยงด้านความปลอดภัยในการพัฒนาซอฟต์แวร์เป็นสิ่งที่สำคัญที่สุด หนึ่งในความผิดพลาดที่พบบ่อยที่สุดของนักพัฒนา โดยเฉพาะมือใหม่ คือการ commit ไฟล์ที่มีข้อมูลสำคัญเช่น .env, API keys, passwords และ secrets อื่นๆ เข้ากับ Git repository ปัญหาของการกระทำนี้ไม่ได้จบลงแค่การลบไฟล์ออกไป เนื่องจากข้อมูลเหล่านั้นยังอยู่ในประวัติของ Git เสมอ และสามารถถูกค้นหาได้ อย่างไรก็ตาม มีหลายวิธีที่เราสามารถทำได้เพื่อป้องกันและแก้ไขปัญหาดังกล่าว

ความเสี่ยงของการ Commit Secrets เข้า Git Repository

เมื่อคุณ commit ไฟล์ที่มี secrets เข้า Git repository แม้ว่าคุณจะลบไฟล์นั้นออกในการ commit ถัดไป ข้อมูลเหล่านั้นก็ยังคงอยู่ในประวัติของ repository ตลอดไป ในกรณีของ public repository บน GitHub, GitLab หรือ Bitbucket ข้อมูลสำคัญของคุณอาจถูกค้นหาโดยบอตหรือผู้ที่มีเจตนาร้ายในเวลาเพียงไม่กี่นาทีเท่านั้น

นอกจากนี้ แม้ว่าคุณแปลงเป็น private repository ก็ไม่สามารถรับประกันได้ว่าข้อมูลจะไม่ไหลออกไป โดยเฉพาะอย่างยิ่งเมื่อมีการ fork หรือ clone repository ลงมาไว้ในเครื่องของสมาชิกในทีมหรือผู้ที่มีสิทธิ์เข้าถึง Repository นั้น

ตัวอย่างของ Secrets ที่ไม่ควร Commit ลงใน Git

ก่อนที่จะเรียนรู้วิธีป้องกัน เรามาดูตัวอย่างของข้อมูลสำคัญที่ไม่ควรถูก commit ลงใน repository กันก่อน:

  • API Keys: Stripe, Twilio, SendGrid, OpenAI, AWS, Google Cloud เป็นต้น
  • Database Credentials: Username, password, connection strings ของ MySQL, PostgreSQL, MongoDB
  • OAuth Tokens: GitHub, Google, Facebook access tokens
  • .env Files: ไฟล์เก็บตัวแปรสภาพแวดล้อมที่มีข้อมูลสำคัญต่างๆ
  • SSH Private Keys: ใช้สำหรับการยืนยันตัวตนในการเชื่อมต่อ server
  • SSL/TLS Certificates: ใช้สำหรับการเข้ารหัสข้อมูล
  • Passwords: รหัสผ่านของระบบใดๆ
  • JWT Secrets: ใช้สำหรับการสร้าง JSON Web Tokens

วิธีป้องกัน: ใช้ .gitignore อย่างถูกต้อง

วิธีที่ง่ายและประสิทธิ์สูงที่สุดในการป้องกันการ commit secrets คือการสร้างไฟล์ .gitignore ในรูท directory ของ project และระบุไฟล์หรือ folder ที่ไม่ต้องการ commit:

# Environment variables
.env
.env.local
.env.*.local

# Credentials
.credentials
config/secrets.yml

# SSH Keys
*.pem
*.key
id_rsa
id_dsa

# SSL Certificates
*.crt
*.cert
*.p12

# IDE Settings (โดยทั่วไปมี secrets)
.idea/
.vscode/settings.json

# Node modules (มีขนาดใหญ่และไม่จำเป็น)
node_modules/

# Dependencies
venv/
env/
.env/

.env.example Pattern สำหรับการทำงานเป็นทีม

เพื่อให้สมาชิกในทีมสามารถทำความเข้าใจว่าตัวแปรสภาพแวดล้อมที่จำเป็นคืออะไร ให้สร้างไฟล์ .env.example ซึ่งเป็นแบบอย่างของไฟล์ .env โดยใช้ค่า placeholder แทนค่าที่แท้จริง:

# .env.example
DATABASE_HOST=localhost
DATABASE_PORT=5432
DATABASE_USER=db_user
DATABASE_PASSWORD=your_password_here
DATABASE_NAME=myapp_db

STRIPE_API_KEY=sk_test_xxxxxxxxxxxx
STRIPE_WEBHOOK_SECRET=whsec_xxxxxxxxxx

JWT_SECRET=your_jwt_secret_here
APP_ENV=development
APP_DEBUG=true

สมาชิกในทีมจะ copy ไฟล์นี้มาเป็น .env และแทนค่า placeholder ด้วยข้อมูลจริงในเครื่องของพวกเขา ไฟล์ .env.example สามารถ commit ลง repository ได้เพราะไม่มีข้อมูลสำคัญที่แท้จริง

Secret Management Tools

สำหรับ production environment เราควรใช้เครื่องมือจัดการ secrets ที่มีความปลอดภัยสูงกว่า:

1. HashiCorp Vault – เครื่องมือที่ทรงพลังสำหรับการจัดการ secrets และ encryption ของข้อมูล

vault kv put secret/myapp/db 
  username=dbuser 
  password=secretpassword

2. AWS Secrets Manager – บริการของ AWS สำหรับจัดการ secrets ของคุณ

aws secretsmanager create-secret --name MyDatabaseSecret 
  --secret-string '{"username":"dbuser","password":"secretpassword"}'

3. python-dotenv – ไลบรารี่ Python ที่ช่วยในการโหลดตัวแปรจากไฟล์ .env

from dotenv import load_dotenv
import os

load_dotenv()
db_password = os.getenv('DATABASE_PASSWORD')

วิธีตรวจหา Secrets ที่รั่ว

หากคุณต้องการตรวจสอบว่า repository ของคุณมีข้อมูลสำคัญที่ไม่ได้ซ่อนอยู่ สามารถใช้เครื่องมือต่อไปนี้:

1. git-secrets – ตรวจสอบว่ามี AWS access keys, private keys หรืออื่นๆ ฝังอยู่ในประวัติ Git

git secrets --scan
git secrets --install
git secrets --register-aws

2. detect-secrets – เครื่องมือของ Yelp สำหรับตรวจจับ secrets ในโค้ด

detect-secrets scan --all-files > .secrets.baseline

3. truffleHog – ค้นหา secrets ในประวัติ Git repository

truffleHog git https://github.com/yourusername/yourrepo.git

สิ่งที่ต้องทำหากเผลอ Commit Secrets แล้ว

หากคุณพบว่าคุณได้ commit ไฟล์ที่มี secrets ไปแล้ว มีหลายวิธีในการแก้ไข:

วิธีที่ 1: ใช้ git filter-branch (สำหรับ repository ขนาดเล็ก)

# ลบไฟล์ .env ออกจากประวัติทั้งหมด
git filter-branch --tree-filter 'rm -f .env' HEAD

# บังคับ push ไปยัง remote (ต้องระวัง!)
git push -u origin main --force

วิธีที่ 2: ใช้ BFG Repo Cleaner (เร็วกว่า git filter-branch)

# ติดตั้ง BFG
brew install bfg

# ลบไฟล์ .env ออกจากประวัติ
bfg --delete-files .env

# ทำความสะอาด และ push ไปยัง remote
git reflog expire --expire=now --all
git gc --prune=now --aggressive
git push origin --force --all

ขั้นตอนสำคัญ: Rotate Keys และ Credentials

ไม่ว่าคุณจะเลือกใช้วิธีใด หลังจากที่ลบ secrets ออกจาก Git แล้ว คุณจำเป็นต้องเปลี่ยน (rotate) API keys, passwords, และ credentials ทั้งหมดที่เกี่ยวข้องทันที เนื่องจากอาจมีใครเห็นได้ในช่วงเวลาที่มันถูก expose

Best Practices สรุป

  • ใช้ .gitignore เสมอ: เพิ่ม .env, *.key, *.pem และไฟล์สำคัญอื่นๆ ลงใน .gitignore
  • สร้าง .env.example: ช่วยให้ทีมทราบว่าตัวแปรใดที่จำเป็น
  • ใช้ secret management tools: สำหรับ production ใช้ HashiCorp Vault หรือ AWS Secrets Manager
  • ตรวจหา secrets โดยอัตโนมัติ: ใช้ git-secrets หรือ detect-secrets เป็น pre-commit hooks
  • ปฏิบัติต่อ secrets ด้วยความจริงจัง: การเปิดเผย API key หรือ database password ถือเป็นการเจาะระบบที่อันตรายมาก
  • Rotate credentials หากเกิด leak: เปลี่ยนทุกอย่างอย่างรวดเร็ว
  • ใช้ protected branches: สำหรับ production repository ให้ใช้ branch protection rules

การดูแลรักษา secrets อย่างสุจริต เป็นส่วนหนึ่งของความรับผิดชอบของนักพัฒนาโปรแกรม และเป็นการปกป้องระบบของคุณและข้อมูลของผู้ใช้อยู่เสมอ บริษัทเช่น Dot Enterprise (de.co.th) ที่ให้บริการ Cloud VPS และ Cloud Hosting ก็ให้ความสำคัญต่อความปลอดภัยของข้อมูลลูกค้าเช่นเดียวกัน