.env فائلز email کرنا بند کریں: encrypted vaults کا عملی گائیڈ

چار سب سے عام leak paths:

• Slack DMs — onboarding، تیز handoffs۔ Search index انہیں ہمیشہ کے لیے رکھتا ہے۔ • Notion/Confluence pages — کسی نے 2022 میں production values کے ساتھ 'dev setup' page بنایا۔ • Plaintext Postman collections — workspace کے ذریعے شیئر کیے گئے، live tokens سمیت۔ • Committed .env files — `git rm` انہیں HEAD سے ہٹاتا ہے لیکن یہ history میں رہتے ہیں۔

ان میں سے کوئی بھی بدنیت insider کو شامل نہیں کرتا۔ سب workflow shortcuts ہیں جو مستقل artifacts بن جاتے ہیں۔

Tool چننے سے پہلے، خطرات کو نام دیں:

• ایک junior جو کمپنی چھوڑتا ہے اور اس کے laptop پر ابھی بھی Slack export ہے۔ • ایک contractor جس کو آپ کے Notion workspace تک ایک دن رسائی تھی اور اس نے Markdown backup رکھا۔ • ایک compromised developer laptop جہاں infostealer نے disk پر ہر plaintext secret جذب کر لیا۔

Encrypted vaults ان سب کو ایک ہی طرح سنبھالتے ہیں: secret کبھی rest پر plaintext میں نہیں ہوتا، لہٰذا exfiltrated ciphertext vault key کے بغیر بیکار ہے۔

EnvVault secret encryption کے لیے Fernet (AES-128-CBC اور HMAC-SHA256) استعمال کرتا ہے۔ یہ دستیاب سب سے نادر cipher suite نہیں ہے، اور یہی point ہے۔ Fernet standardized ہے، وسیع پیمانے پر audit کیا گیا ہے، اور ان طریقوں سے misuse کرنا ناممکن ہے جو غیر محفوظ output پیدا کریں۔

اہم: vault ایک مخصوص `ENVVAULT_ENCRYPTION_KEY` استعمال کرتا ہے، نہ کہ application کا JWT signing secret۔ انہیں share کرنا عام غلطی ہے: اگر حملہ آور JWT forge کرے تو وہ ہر secret بھی decrypt کرتا ہے۔

'سب کچھ' کے لیے ایک vault غلط شکل ہے۔ Production secret کی access ضروریات development secret سے بنیادی طور پر مختلف ہیں۔

اپنے vaults کو اس طرح structure کریں:

• Production — صرف senior on-call پڑھتا ہے، ہر access پر audit log۔ • Staging — کوئی بھی engineer پڑھتا ہے، صرف lead لکھتا ہے۔ • Development — ہر کوئی پڑھ اور لکھ سکتا ہے۔

Separation صرف permissions کے بارے میں نہیں — یہ blast radius کے بارے میں ہے۔

سب سے اہم operational صلاحیت جو vault کو چاہیے وہ key rotation ہے جو چلتی application کو نہ توڑے۔ طریقہ کار:

1. نیا encryption key generate کریں۔ اسے vault میں `current` key کے طور پر شامل کریں۔ 2. پرانے key کو `legacy` کے طور پر رکھیں۔ 3. Re-encryption pass چلائیں: ہر secret کے لیے، `legacy` سے decrypt کریں، `current` سے encrypt کریں۔ 4. Re-encryption مکمل ہونے پر، `legacy` کو ہٹا دیں۔

Dual-key window کے ساتھ، کوئی بھی درخواست rotation کی وجہ سے کبھی ناکام نہیں ہوتی۔