8.1 安全开发流程

待开发

安全不是一次性配置，而是贯穿开发周期的习惯。本节按阶段列出你该做什么。

开发前

配置 .gitignore，确保 .env 和敏感文件不会被提交
创建 .env.example 模板，方便队友知道需要哪些变量
选择技术栈时考虑安全内置（Next.js + Drizzle 已解决大部分问题）

开发中

所有密钥放入 .env，代码中绝不写死
区分 Server 和 Client，敏感数据只在服务端处理
需要暴露给前端的变量加 NEXT_PUBLIC_ 前缀
修改 .env 后重启服务

上线前

运行 pnpm audit 检查依赖漏洞
确认生产环境变量已配置
启用 HTTPS

上线后

定期轮换密钥
监控异常登录和请求

养成习惯

每次写代码前问自己："这里有没有敏感数据？该不该放环境变量？"

反馈与建议：发现内容有误或想补充？欢迎在下方评论区留言，或到 GitHub 提 Issue

点我给个 Star 吧：