npm - @himorogy/enclave-env - Versions diffs - 0.2.0 → 0.2.1 - Mend

@himorogy/enclave-env 0.2.0 → 0.2.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (5) hide show

package/README.md CHANGED Viewed

@@ -4,119 +4,77 @@
 [dotenvx](https://dotenvx.com/) による暗号化と実行時ガードを組み合わせ、LLM が動く devcontainer から prod キーを構造的に隔離します。
-## このパッケージが提供するもの
-| 種別 | 内容 |
-|---|---|
-| **CLI** | `encrypt` / `decrypt` — env ファイルの暗号化・復号 |
-| **CLI** | `check` — 平文 `.env*` のコミットをブロック（pre-commit hook 用） |
-| **シェルスクリプト** | `scripts/init-check-dev.sh` — dev コンテナ起動時のセキュリティチェック（`initializeCommand` 用） |
-| **シェルスクリプト** | `scripts/init-check-prod.sh` — prod コンテナ起動時の相互排他チェック（`initializeCommand` 用） |
-| **テンプレート** | `templates/` — prod-shell スクリプト・devcontainer 構成の参照実装 |
-**このパッケージが担わないもの：** devcontainer.json の作成・管理、prod 環境の構築。これらはプロジェクト側の責務です。テンプレートはその参照実装として提供します。
-# セキュリティ思想
+---
-## なぜ必要か
+# できること
-Claude Code などの LLM は devcontainer 内から bind mount 経由でワークスペース全体にアクセスできます。`.env.production` または復号キーを平文で置いておくと、LLM が意図せず本番秘密情報を参照・出力するリスクがあります。
-prod用復号キーをワークスペース外に置くことで devcontainer への同期を防ぎ、 `.env.production` が平文の状態で devcontainer に同期されないように複数層でブロックします。
+## 平文 env のコミットをブロックする
-`.env.production` に対する単一変数の追加・更新は下記の通り `dotenvx set` で対応できます。
+ステージ済みの `.env*` ファイルに暗号化されていないものがあればコミットを中断します。
-```sh
-dotenvx set DATABASE_URL "postgres://..." -f .env.production
+```json
+{
+  "simple-git-hooks": {
+    "pre-commit": "sh node_modules/@himorogy/enclave-env/scripts/check.sh"
+  }
+}
 ```
-- `.env.production` に含まれる public key だけで暗号化するため private key 不要
-- 平文ファイルが一切ディスクに書き出されない
-- dev コンテナ内でも実行可能（ただしコマンドヒストリーを削除しないと、LLMがセットした値を読み取ることが可能である点に留意）
-## prod キー隔離の弊害
-prod の private key を dev コンテナの外に置くと、dev コンテナ内から `.env.production` を復号できなくなります。
-これは意図した動作ですが、複数変数を一覧で確認しながら編集したい場合や、prod deploy・DB メンテナンスを伴う作業には対応できません。そうしたワークフローのために prod 環境を用意します。
-## 守るべき原則
-prod 環境の実現手段は問いませんが、以下の 2 つを守ることがこのツールの前提です：
-| 原則 | 目的 |
-|---|---|
-| **prod の private key は常にワークスペース外に置く** | bind mount 経由で LLM に渡らない |
-| **prod 操作は dev コンテナが停止した状態で行う** | 復号した平文を LLM から守る |
----
-# prod 環境の用意
-## prod 環境の活用シナリオ
-### 全復号して操作する
+使用する機能：`scripts/check.sh`（内部で `enclave-env check` を呼び出し）
-複数変数をまとめて確認・変更したい場合：
+## env ファイルを暗号化・復号する
 ```sh
-# 1. 復号
-enclave-env decrypt --env prod
-# 2. エディタで編集
-vim .env.production
-# 3. 再暗号化
-enclave-env encrypt --env prod
+enclave-env encrypt --env local   # .env を in-place 暗号化
+enclave-env decrypt --env local   # .env を in-place 復号
 ```
-`protected: true` の環境では、手順 1 が dev コンテナ稼働中にブロックされます。
+`--env` に指定する名前は `enclave-env` 設定ファイルの `ENV_<NAME>_FILE` に対応します。
+## prod secrets を LLM から守る
-### prod 環境の DB 整備や deploy
+### 単一変数を追加・更新する
-prod deploy・DB マイグレーションなど、prod の認証情報を使った操作も prod 環境内で完結できます。
+`dotenvx set` を使えば private key 不要で暗号化したまま書き込めます：
 ```sh
-pnpm deploy
-pnpm db:migrate
+dotenvx set DATABASE_URL "postgres://..." -f .env.production
 ```
-## 運用上の注意点と 2 層の防御
-全復号フロー中は `.env.production` が平文でディスクに存在します。この間に dev コンテナが起動すると、bind mount 経由で LLM が平文にアクセスできてしまいます。
+- `.env.production` の public key だけで暗号化するため private key 不要
+- 平文ファイルが一切ディスクに書き出されない
+- dev コンテナ内でも実行可能（コマンドヒストリー経由で LLM が値を読み取れる点に留意）
-enclave-env はこれを 2 つのレイヤーで防ぎます：
+### prod キーをワークスペース外に置く
-| レイヤー | タイミング | 担う側 | 実装 |
-|---|---|---|---|
-| 起動時 | devcontainer 起動 | **プロジェクト** が `initializeCommand` に登録 | `scripts/init-check-dev.sh` / `scripts/init-check-prod.sh` |
-| 実行時 | `decrypt` 実行時 | **ライブラリ** が自動で実行 | `protected` フラグが付いた環境で dev コンテナの稼働を確認しブロック |
+| 環境 | キーの保管場所 |
+|---|---|
+| local / dev | `.devcontainer/dev/.env.container`（gitignore 対象） |
+| prod | `~/.config/<your-project>/.env.container`（ワークスペース外） |
-実行時ガードは `DEVCONTAINER=true`（コンテナ内からの実行）の場合はスキップされます。起動時ガードで保証済みのためです。
+prod キーをワークスペース外に置くことで bind mount 経由で LLM に渡るリスクをなくします。`ENV_PROD_PROTECTED=true` を設定すると、`decrypt` 実行時に dev コンテナが稼働中かどうかを確認しブロックします。
-## 運用案
+## prod 操作環境を用意する（全復号・deploy・DB）
-prod キーが使える実行環境の用意方法です。
+prod の private key を dev コンテナ外に置くと、コンテナ内から `.env.production` を復号できなくなります。これは意図した動作ですが、複数変数の編集や prod deploy には prod 専用環境が必要です。
 ### 選択肢 1：ホスト直実行
-最もシンプル。dev コンテナを停止した状態でホストから実行します。
+最もシンプル。dev コンテナを停止した状態でホストから実行します。ホストに Node.js と `enclave-env` のインストールが必要です。
 ```sh
 # DOTENV_PRIVATE_KEY_PRODUCTION が使える状態で
 pnpm decrypt-env:prod
 ```
-ホストに Node.js と `enclave-env` のインストールが必要です。
 ### 選択肢 2：prod-shell スクリプト（推奨）
-Docker だけで prod 操作環境を再現するスクリプトを用意します。相互排他チェック・コンテナ起動・prod キー注入を 1 コマンドで行います。
+相互排他チェック・コンテナ起動・prod キー注入を 1 コマンドで行います。コンテナ内で `enclave-env`・`dotenvx`・各種デプロイツールが使えます。
 ```sh
 sh scripts/prod-shell.sh
 ```
-コンテナ内で `enclave-env`・`dotenvx`・各種デプロイツールが使えます。macOS / Linux 間の環境差が出ないため、CI/CD 安定前の prod deploy や DB メンテナンスも同じコンテナ内で完結します。
 テンプレート：[`templates/prod-shell.sh`](./templates/prod-shell.sh)
 ### 選択肢 3：2 層 devcontainer
@@ -138,6 +96,23 @@ VS Code の「Reopen in Container」で prod devcontainer に切り替える構
 テンプレート：[`templates/devcontainer/`](./templates/devcontainer/)
+## devcontainer 起動時に安全性を検証する
+`initializeCommand` にシェルスクリプトを登録することで、コンテナ起動前に安全性を確認します。
+| スクリプト | 登録先 | チェック内容 |
+|---|---|---|
+| `scripts/init-check-dev.sh` | dev コンテナの `initializeCommand` | prod コンテナ稼働中なら起動をブロック（2 層 devcontainer 使用時） |
+| `scripts/init-check-prod.sh` | prod コンテナの `initializeCommand` | dev コンテナ稼働中なら起動をブロック |
+```json
+{
+  "initializeCommand": "source enclave-env && sh node_modules/@himorogy/enclave-env/scripts/init-check-dev.sh"
+}
+```
+> 実行時ガード（`protected` フラグ）と起動時ガードの 2 層で平文露出を防ぎます。詳細は「セキュリティ設計」を参照してください。
 ---
 # インストール
@@ -192,7 +167,37 @@ pnpm encrypt-env
 生成された `DOTENV_PUBLIC_KEY` はリポジトリにコミットします。`.env.keys` はコミットしないでください。
-# CLI リファレンス
+---
+# セキュリティ設計
+## 守るべき原則
+prod 環境の実現手段は問いませんが、以下の 2 つを守ることがこのツールの前提です：
+| 原則 | 目的 |
+|---|---|
+| **prod の private key は常にワークスペース外に置く** | bind mount 経由で LLM に渡らない |
+| **prod 操作は dev コンテナが停止した状態で行う** | 復号した平文を LLM から守る |
+## 2 層の防御
+全復号フロー中は `.env.production` が平文でディスクに存在します。この間に dev コンテナが起動すると、bind mount 経由で LLM が平文にアクセスできてしまいます。
+enclave-env はこれを 2 つのレイヤーで防ぎます：
+| レイヤー | タイミング | 担う側 | 実装 |
+|---|---|---|---|
+| 起動時 | devcontainer 起動 | **プロジェクト** が `initializeCommand` に登録 | `scripts/init-check-dev.sh` / `scripts/init-check-prod.sh` |
+| 実行時 | `decrypt` 実行時 | **ライブラリ** が自動で実行 | `protected` フラグが付いた環境で dev コンテナの稼働を確認しブロック |
+実行時ガードは `DEVCONTAINER=true`（コンテナ内からの実行）の場合はスキップされます。起動時ガードで保証済みのためです。
+---
+# リファレンス
+## CLI
 ```
 enclave-env encrypt --env <environment>   # 指定環境の env ファイルを in-place 暗号化
@@ -209,7 +214,7 @@ scripts/init-check-dev.sh    # dev コンテナ起動時（enclave-env を sourc
 scripts/init-check-prod.sh   # prod コンテナ起動時（enclave-env を source して実行）
 ```
-# `enclave-env` 設定リファレンス
+## `enclave-env` 設定キー
 | キー | 説明 |
 |---|---|
@@ -221,16 +226,7 @@ scripts/init-check-prod.sh   # prod コンテナ起動時（enclave-env を sour
 `<NAME>` は大文字・数字・アンダースコアで構成し、`--env` オプションでは小文字で参照します。例：`ENV_PROD_FILE` → `--env prod`
-# キー管理の推奨構成
-| 環境 | キーの保管場所 |
-|---|---|
-| local / dev | `.devcontainer/dev/.env.container`（gitignore 対象） |
-| prod | `~/.config/<your-project>/.env.container`（ワークスペース外） |
-prod キーをワークスペース外に置くことで、bind mount 経由で LLM に渡るリスクをなくします。
-# Git 管理ポリシー（推奨）
+## Git 管理ポリシー（推奨）
 | ファイル | Git 管理 |
 |---|---|
@@ -239,6 +235,8 @@ prod キーをワークスペース外に置くことで、bind mount 経由で
 | `.env.keys*` | ❌ 必ず gitignore |
 | `enclave-env` | ✅ |
+---
 # 機能一覧とテスト状況
 | 機能 | 種別 | テスト |

package/dist/cli.js CHANGED Viewed

@@ -6,7 +6,7 @@ import { Command } from "commander";
 // package.json
 var package_default = {
   name: "@himorogy/enclave-env",
-  version: "0.2.0",
+  version: "0.2.1",
   description: "Encrypted env management that keeps secrets out of LLM reach",
   packageManager: "pnpm@10.33.2",
   type: "module",
@@ -20,8 +20,8 @@ var package_default = {
     format: "biome check --write .",
     lint: "biome ci .",
     test: "pnpm test:ts && pnpm test:sh",
-    "test:ts": "tsc -p tsconfig.test.json && node --test dist/test/config.test.js",
-    "test:sh": "sh tests/check.test.sh && sh tests/init-check-dev.test.sh",
+    "test:ts": "tsc -p tsconfig.test.json && node --test dist/test/tests/config.test.js dist/test/tests/security.test.js",
+    "test:sh": "sh tests/check.test.sh && sh tests/init-check-dev.test.sh && sh tests/init-check-prod.test.sh",
     release: "sh release.sh"
   },
   dependencies: {
@@ -87,6 +87,8 @@ function check() {
 // src/commands/decrypt.ts
 import { execSync as execSync3 } from "child_process";
+import { createRequire } from "module";
+import path from "path";
 // src/config.ts
 import { readFileSync as readFileSync2 } from "fs";
@@ -176,6 +178,11 @@ function checkDevContainerNotRunning(containerName) {
 }
 // src/commands/decrypt.ts
+var require2 = createRequire(import.meta.url);
+var dotenvxBin = path.join(
+  path.dirname(require2.resolve("@dotenvx/dotenvx/package.json")),
+  "src/cli/dotenvx.js"
+);
 function decryptEnv(config, env) {
   if (config.mode !== "single") {
     throw new Error(`Mode "${config.mode}" is not yet supported`);
@@ -185,17 +192,28 @@ function decryptEnv(config, env) {
     checkDevContainerNotRunning(config.security.devContainerName);
   }
   const filePath = resolveEnvFile(config, env);
-  execSync3(`dotenvx decrypt -f "${filePath}"`, { stdio: "inherit" });
+  execSync3(`node "${dotenvxBin}" decrypt -f "${filePath}"`, {
+    stdio: "inherit"
+  });
 }
 // src/commands/encrypt.ts
 import { execSync as execSync4 } from "child_process";
+import { createRequire as createRequire2 } from "module";
+import path2 from "path";
+var require3 = createRequire2(import.meta.url);
+var dotenvxBin2 = path2.join(
+  path2.dirname(require3.resolve("@dotenvx/dotenvx/package.json")),
+  "src/cli/dotenvx.js"
+);
 function encryptEnv(config, env) {
   if (config.mode !== "single") {
     throw new Error(`Mode "${config.mode}" is not yet supported`);
   }
   const filePath = resolveEnvFile(config, env);
-  execSync4(`dotenvx encrypt -f "${filePath}"`, { stdio: "inherit" });
+  execSync4(`node "${dotenvxBin2}" encrypt -f "${filePath}"`, {
+    stdio: "inherit"
+  });
 }
 // src/cli.ts

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
 	"name": "@himorogy/enclave-env",
-	"version": "0.2.0",
+	"version": "0.2.1",
 	"description": "Encrypted env management that keeps secrets out of LLM reach",
 	"packageManager": "pnpm@10.33.2",
 	"type": "module",
@@ -14,8 +14,8 @@
 		"format": "biome check --write .",
 		"lint": "biome ci .",
 		"test": "pnpm test:ts && pnpm test:sh",
-		"test:ts": "tsc -p tsconfig.test.json && node --test dist/test/config.test.js",
-		"test:sh": "sh tests/check.test.sh && sh tests/init-check-dev.test.sh",
+		"test:ts": "tsc -p tsconfig.test.json && node --test dist/test/tests/config.test.js dist/test/tests/security.test.js",
+		"test:sh": "sh tests/check.test.sh && sh tests/init-check-dev.test.sh && sh tests/init-check-prod.test.sh",
 		"release": "sh release.sh"
 	},
 	"dependencies": {

package/scripts/check.sh CHANGED Viewed

@@ -16,7 +16,7 @@ for file in $(git diff --cached --name-only | grep -E '(^|/)\.env|(^|/)secret\.e
       ''|'#'*|DOTENV_PUBLIC_KEY*) continue ;;
     esac
-    if ! echo "$line" | grep -qE '^[A-Z0-9_]+=encrypted:'; then
+    if ! echo "$line" | grep -qE '^[A-Z0-9_]+="?encrypted:'; then
       echo "❌ Error: $file contains unencrypted value:"
       echo "  $line"
       echo "  Run: pnpm dotenvx encrypt"

package/scripts/init-check-dev.sh CHANGED Viewed

@@ -32,7 +32,7 @@ find . -type f \
     case "$line" in
       ''|'#'*|DOTENV_PUBLIC_KEY*) continue ;;
     esac
-    if ! echo "$line" | grep -qE '^[A-Z0-9_]+=encrypted:'; then
+    if ! echo "$line" | grep -qE '^[A-Z0-9_]+="?encrypted:'; then
       if [ "$FILE_HEADER_SHOWN" = "0" ]; then
         echo "❌ ERROR: $FILE contains unencrypted values:"
         FILE_HEADER_SHOWN=1