LocalKeys - un gestionnaire local de secrets pour remplacer `.env`

 (localkeys.privatestater.com)
3 points par gpdir16 2025-11-16 | 8 commentaires | Partager sur WhatsApp

Pourquoi le créer

  1. Gestion difficile
    En général, un fichier .env se trouve dans chaque projet, et plus le nombre de projets augmente, plus sa gestion devient compliquée. (Par exemple, si une clé change, il faut aller la modifier partout.)

  2. Problèmes de sécurité
    Comme les clés secrètes sont simplement stockées en étant cachées, elles peuvent fuiter à cause d’une erreur de l’utilisateur, par exemple en étant commitées par mégarde ou incluses dans une archive compressée. Dans le pire des cas, des programmes malveillants comme des virus peuvent aussi les dérober.

Fonctionnalités principales

D’abord, c’est une solution locale, chiffrée en AES256 et stockée en toute sécurité dans ~/.localkeys.

C’est probablement la fonctionnalité principale : lorsqu’un autre processus tente d’utiliser un secret, une fenêtre s’affiche pour demander l’autorisation de l’utilisateur, qui peut l’accepter ou la refuser.
Si l’utilisateur refuse, ce programme ne peut plus accéder au secret refusé.

Des commandes comme npm start peuvent aussi être exécutées directement sous la forme localkeys run --project-myapp -- npm start.
À l’usage, cette commande semble un peu longue dans sa forme actuelle, donc il est prévu de la modifier pour que la partie --project ne soit plus nécessaire.

Enfin, il suffit de transférer le contenu du fichier .env vers localkeys puis de supprimer le fichier existant pour terminer la configuration.
(L’outil a été conçu pour modifier le moins possible l’environnement de travail existant.)

Lancement

Il n’y a pas encore de lancement officiel, mais une mailing list est déjà ouverte.
Le lancement officiel devrait avoir lieu dans un délai d’environ 1 à 2 mois, et avant cela, des retours seront recueillis via un accès anticipé gratuit.

À lire aussi

8 commentaires

 
onixboox 2025-11-17

Quels avantages présente-t-il par rapport à https://varlock.dev ?
 
gpdir16 2025-11-17

varlock donne l’impression d’être un sur-ensemble de dotenv pour la validation et la gestion des types, tandis que localkeys est plus orienté sécurité, avec l’idée de remplacer dotenv et de ne conserver les secrets que dans un espace chiffré.
Je pense donc qu’il vaut mieux les voir comme des outils d’une catégorie proche, mais avec des approches différentes.
Par rapport à varlock, les avantages de localkeys sont notamment que les secrets sont stockés de manière chiffrée et que, même avec les fonctionnalités de base, un autre processus ne peut utiliser les secrets qu’avec l’approbation de l’utilisateur.
 
onixboox 2025-11-17

Ah... en fait, il faut plutôt le comparer à quelque chose comme 1Password.
 
vwjdalsgkv 2025-11-16

Cela me semble être un contenu qui n’est pas approprié pour Show.
« Si les utilisateurs ne peuvent pas encore l’essayer, merci de ne pas le publier pour l’instant. Publiez-le lorsqu’il sera prêt à être utilisé par d’autres. Merci de ne pas utiliser cet espace pour publier une simple landing page. »
S’il ne s’agit actuellement que d’une liste d’inscription par e-mail, je pense qu’il vaudrait mieux le publier une fois que ce sera un peu plus abouti.
 
jk34011 2025-11-17

Où se trouve ce contenu ? Il n’apparaît ni dans le guide d’utilisation du site ni dans la FAQ.
Ce serait bien qu’il soit ajouté.
 
crawler 2025-11-17

https://news.hada.io/show

Il se trouve juste à côté du bouton « Enregistrer Show »..
 
jk34011 2025-11-17

Ah, c’était bien dans l’inscription.. haha, je ne savais pas puisque je n’ai jamais essayé de m’inscrire moi-même ;
 
gpdir16 2025-11-16

Merci de me l’avoir signalé.
Comme il n’y avait pas d’explication à ce sujet dans la FAQ, j’ai cru que je pouvais le publier.