{"id":2107,"date":"2026-01-17T19:00:00","date_gmt":"2026-01-17T18:00:00","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/envmap-fini-les-fichiers-env-qui-trainent-et-finissent-sur-github\/"},"modified":"2026-01-17T19:00:00","modified_gmt":"2026-01-17T18:00:00","slug":"envmap-fini-les-fichiers-env-qui-trainent-et-finissent-sur-github","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/envmap-fini-les-fichiers-env-qui-trainent-et-finissent-sur-github\/","title":{"rendered":"Envmap – Fini les fichiers .env qui tra\u00eenent et finissent sur GitHub"},"content":{"rendered":"

Devinette du soir : Qu\u2019est-ce qui est pire qu’un secret que vous avez oubli\u00e9 de cacher ?<\/p>\n

R\u00e9ponse : Des dizaines, des millions de secrets qui tra\u00eenent sur GitHub parce que quelqu’un a eu la flemme de configurer un vrai gestionnaire de variables d’environnement !<\/p>\n

H\u00e9 oui, les amis ! On a tous fait cette boulette au moins une fois (ou alors vous mentez, ou vous \u00eates un robot). On cr\u00e9e un petit fichier .env<\/code>, on oublie de le rajouter au .gitignore<\/code>, et paf, vos cl\u00e9s AWS se retrouvent \u00e0 poil. Selon GitHub, c’est plus de 39 millions de secrets qui ont \u00e9t\u00e9 d\u00e9tect\u00e9s en fuite sur leurs d\u00e9p\u00f4ts en 2024. C’est du d\u00e9lire !<\/p>\n

<\/p>\n

Envmap – Le gestionnaire de variables d’environnement qui tue les fichiers .env ( \nSource<\/a> \n)<\/em><\/p>\n

Du coup, au lieu de continuer \u00e0 se farcir du bricolage avec des fichiers qui tra\u00eenent en clair sur le disque, je vous propose de jeter un \u0153il \u00e0 \nEnvmap<\/a> \n<\/strong>.<\/p>\n

C’est un outil \u00e9crit en Go dont l’objectif est de r\u00e9duire au maximum l’\u00e9criture de vos secrets sur le disque dur. En mode normal, il va les pomper directement chez les grands manitous du stockage s\u00e9curis\u00e9 comme AWS Secrets Manager, HashiCorp Vault, 1Password ou encore Doppler (m\u00eame si pour l’instant, certains de ces providers sont encore en cours d’int\u00e9gration).<\/p>\n

Comme \u00e7a, au lieu de faire un vieux source .env<\/code> qui laisse tra\u00eener un fichier sensible, vous lancez votre application avec envmap run -- node app.js<\/code>. L’outil r\u00e9cup\u00e8re les variables en RAM et les injecte dans le process. C’est propre, c’est net, et \u00e7a \u00e9vite surtout de pousser par erreur votre config sur un repo public.<\/p>\n

Pour ceux qui se demandent s’il faut quand m\u00eame envoyer ses fichiers .env sur GitHub (spoiler : non, jamais !), Envmap propose une commande import<\/code> pour ing\u00e9rer vos vieux secrets. Et pour ceux qui ont besoin d’un stockage local, sachez qu’Envmap peut aussi chiffrer vos variables en AES-256-GCM, ce qui est quand m\u00eame plus s\u00e9rieux qu’un fichier texte lisible par n’importe qui. Notez aussi qu’il existe une commande sync<\/code> si vous avez vraiment besoin de g\u00e9n\u00e9rer un fichier .env<\/code> temporaire.<\/p>\n

Perso, ce que je trouve vraiment cool, c’est l’int\u00e9gration avec direnv<\/code>. On rajoute une ligne dans son .envrc<\/code>, et hop, les secrets sont charg\u00e9s automatiquement quand on entre dans le dossier du projet. C’est magique et \u00e7a \u00e9vite les crises cardiaques au moment du push.<\/p>\n

D’ailleurs, si vous voulez aller plus loin dans la s\u00e9curisation de vos outils, je vous recommande de lire mon article sur \nSOPS<\/a> \nou encore ma r\u00e9flexion sur \nl’usage de GitLab<\/a> \npour vos projets sensibles.<\/p>\n

Bref, c’est open source (sous licence Apache 2.0), et avec \u00e7a, vous dormirez sur vos deux oreilles !<\/p>\n","protected":false},"excerpt":{"rendered":"