LocalKeys - ein lokaler Secret-Manager als Ersatz für .env

 (localkeys.privatestater.com)
3 Punkte von gpdir16 2025-11-16 | 8 Kommentare | Auf WhatsApp teilen

Warum es entwickelt wurde

  1. Schwierige Verwaltung
    Normalerweise befindet sich für jedes Projekt eine eigene .env-Datei an einem separaten Ort. Je mehr Projekte es gibt, desto schwieriger wird die Verwaltung. (Wenn man einen Schlüssel ändert, muss man auch alle anderen finden und ändern, was zu Problemen führt.)

  2. Sicherheitsprobleme
    Da geheime Schlüssel nur versteckt gespeichert werden, können sie durch Benutzerfehler offengelegt werden, etwa wenn sie versehentlich committet oder in eine Archivdatei aufgenommen werden. Im schlimmsten Fall können sogar bösartige Programme wie Viren sie stehlen.

Hauptfunktionen

Zunächst ist es lokalbasiert, mit AES256 verschlüsselt und wird sicher unter ~/.localkeys aufbewahrt.

Ich denke, das ist die Hauptfunktion: Wenn ein anderer Prozess ein Secret verwenden möchte, erscheint ein Fenster, in dem der Benutzer um Zustimmung gebeten wird. Man kann zustimmen oder ablehnen.
Wenn man ablehnt, kann das Programm nicht auf das abgelehnte Secret zugreifen.

Befehle wie npm start lassen sich auch direkt in der Form localkeys run --project-myapp -- npm start ausführen.
Beim aktuell entwickelten Stand wirkt dieser Befehl in der Praxis allerdings etwas lang, daher ist geplant, ihn so zu ändern, dass der Teil --project nicht mehr nötig ist.

Zum Schluss ist die Einrichtung abgeschlossen, wenn man den Inhalt der bisherigen .env-Datei zu localkeys verschiebt und die bestehende Datei löscht.
(Es wurde so entwickelt, dass die bestehende Arbeitsumgebung möglichst wenig verändert werden muss.)

Veröffentlichung

Eine offizielle Veröffentlichung gibt es noch nicht, aber zunächst werden Anmeldungen für eine Mailingliste entgegengenommen.
Die offizielle Veröffentlichung dürfte in etwa 1 bis 2 Monaten erfolgen, und schon davor soll im kostenlosen Early Access Feedback gesammelt werden.

Verwandte Beiträge

8 Kommentare

 
onixboox 2025-11-17

Welche Vorteile hat es im Vergleich zu https://varlock.dev?
 
gpdir16 2025-11-17

varlock wirkt wie eine erweiterte, abwärtskompatible Version von dotenv für Validierung und Typverwaltung, während localkeys eher die Sicherheitsseite abdeckt, indem es dotenv ersetzt und Daten nur in einem verschlüsselten Speicherbereich aufbewahrt.
Daher gehören sie zwar in eine ähnliche Kategorie, sind aber Werkzeuge mit unterschiedlichem Ansatz.
Ein Vorteil von localkeys gegenüber varlock ist wohl, dass Secrets verschlüsselt gespeichert werden und dass selbst mit den Grundfunktionen die Zustimmung des Nutzers erforderlich ist, bevor andere Prozesse die Secrets verwenden können!
 
onixboox 2025-11-17

Ah … dann muss man das eher mit etwas wie 1Password vergleichen.
 
vwjdalsgkv 2025-11-16

Das wirkt wie ein Beitrag, der nicht für Show geeignet ist.
„Wenn Nutzer es noch nicht ausprobieren können, bitte noch nicht posten. Bitte erst posten, wenn es für andere zur Nutzung bereit ist. Bitte nicht zum Veröffentlichen einer Landingpage verwenden.“
Wenn derzeit nur eine einfache Mailingliste angeboten wird, wäre es vielleicht besser, den Beitrag erst zu veröffentlichen, wenn alles etwas weiter vorbereitet ist.
 
jk34011 2025-11-17

Wo befindet sich dieser Inhalt? In der Anleitung zur Nutzung der Website oder in den FAQ ist er nicht zu finden.
Es wäre gut, wenn er hinzugefügt würde.
 
crawler 2025-11-17

https://news.hada.io/show

Es befindet sich direkt neben dem Button „Show registrieren“..
 
jk34011 2025-11-17

Ah, es ist also bei der Registrierung.. haha. Ich wusste das nicht, weil ich noch nie selbst etwas registriert habe;
 
gpdir16 2025-11-16

Danke für den Hinweis.
Da es in den FAQ keine entsprechende Erklärung gab, dachte ich, dass ich es posten dürfte.