Claude Code के साथ env vars और secrets प्रबंधन की व्यावहारिक गाइड

GitHub पर गलती से एक API key कमिट हो जाए और पसीने छूट जाएँ — हर डेवलपर इस अनुभव से गुज़रा है। 90% secret लीक मानवीय गलती हैं। Claude Code को जोड़ दीजिए और आप .env सेटअप से लेकर डिटेक्शन, रोटेशन और इंसिडेंट रेस्पॉन्स तक यांत्रिक रूप से सुरक्षा लागू कर सकते हैं।

1. .env सेटअप ऑटोमेट करें

नए डेवलपर्स को env vars जुटाने में दिक्कत होती है। .env.example से जनरेट करें।

claude -p "
Read .env.example and interactively create a .env for this project.

For each variable:
1. What it's for
2. Where to get it (with URLs)
3. Recommended local dev value
4. Required or optional

Confirm .env is gitignored before saving.
"

नए डेवलपर के onboarding को नाटकीय रूप से तेज़ बनाता है।

2. Pre-Commit के ज़रिए ग़लती से होने वाले कमिट रोकें

जैसे ही कोई git commit चलाए, उसी क्षण secrets को पकड़ लें।

claude -p "
Create .husky/pre-commit.

Requirements:
- Check staged files for:
  - AWS access keys: AKIA[0-9A-Z]{16}
  - Stripe: sk_live_[0-9a-zA-Z]{24}
  - GitHub PAT: ghp_[0-9a-zA-Z]{36}
  - Generic API-key-looking strings
- Reject commit and show file/line on detection
- Allow // secrets-ignore comment for false positives

Also compare with trufflehog and gitleaks, and
recommend a team-friendly setup.
"

gitleaks इंडस्ट्री स्टैंडर्ड है — Claude Code के साथ मिलकर यह पाई गई समस्याओं को स्वचालित रूप से ठीक भी कर सकता है।

3. मौजूदा कमिट इतिहास का ऑडिट करें

देखें कि पुरानी लीक अभी भी मौजूद हैं या नहीं।

claude -p "
Scan the entire commit history for secrets:

1. Run gitleaks detect --source . --no-git
2. Categorize findings (active / already revoked / false positive)
3. For active leaks, show immediate rotation steps
4. Git history purge steps (git filter-branch or BFG Repo Cleaner)

Output to docs/security/secret-audit.md (treat as confidential).
"

:::message alert लीक हुए secrets = तुरंत रिवोक करें और रोटेट करें

इतिहास साफ़ कर देने के बावजूद यह मान लीजिए कि forks और caches में अभी भी मौजूद हैं। :::

4. .env.example को सिंक रखें

जब .env बदले तो .env.example स्वचालित रूप से अपडेट हो।

claude -p "
Compare .env and .env.example:

1. Vars in .env but not .env.example → add with placeholders
2. Vars in .env.example but not .env → propose removal if obsolete
3. Improve comments (purpose docs)
4. Confirm secret values remain as placeholders

Save .env.example in a git-diff-reviewable state.
"

5. Production secrets को Secrets Manager में माइग्रेट करें

Prod secrets को .env से AWS Secrets Manager / Cloudflare Secrets / Doppler में ले जाएँ।

claude -p "
Migrate 10 production secrets from .env to AWS Secrets Manager:

1. aws secretsmanager create-secret commands
2. Least-privilege IAM read policy
3. App-side fetch code (with caching)
4. Deploy procedure (cut over from .env)
5. Rollback plan

Output Terraform definitions too.
"

अंतिम स्थिति: कोड या रेपो में कोई production secret नहीं रहेगा।

6. नियमित Secret Rotation शेड्यूल करें

हर 90 दिनों में, स्वचालित।

claude -p "
Design a script to auto-rotate API keys for Stripe, OpenAI, Resend every 90 days:

1. Issue new keys via each service's API
2. Save to Secrets Manager / Cloudflare Secrets
3. Trigger deploy to pick up new keys
4. Revoke old keys
5. Append to docs/security/rotation-log.md

Provide a monthly GitHub Actions schedule YAML.
"

90-दिन का रोटेशन वैसे भी अक्सर compliance की आवश्यकता होती है।

7. लीक के लिए इंसिडेंट प्लेबुक

ऐसी तैयारी रखें कि घटना घटने पर घबराहट न हो।

claude -p "
Write docs/security/incident-playbook.md for:

Scenario: AWS access key accidentally committed to a public GitHub repo

0-15 min:
- Revoke key in AWS Console
- Make the repo private

15 min - 1 hour:
- Check CloudTrail for unauthorized use
- Remove key from git history (git filter-branch)
- Issue new key, register in Secrets Manager

1 hour+:
- Notify security team
- Decide on customer disclosure

Include exact commands and designated owners.
"

CLAUDE.md में सुरक्षा नियम एनकोड करें

ख़ुद Claude Code के व्यवहार पर बंदिशें लगाएँ।

## Secret Handling Rules

### Forbidden
- Hardcoding .env values in source code
- Logging API keys (including console.log)
- Putting secrets in comments
- Putting secrets in README / docs

### Required
- Update .env.example whenever API keys change
- Register new external service keys in Secrets Manager
- Pre-commit secret scan must pass

### AI Instructions
- Always use process.env.XXX for key values in generated code
- Never copy .env contents elsewhere
- Route secret-related changes through human review

इससे Claude Code द्वारा ग़लती से key हार्डकोड कर देने की संभावना घट जाती है।

एंटी-पैटर्न

❌ .env.example को बेमेल छोड़ देना

नए सदस्य ऐप नहीं चला पाते और अफ़रा-तफ़री मच जाती है। दोनों फ़ाइलों को सिंक रखें।

❌ Slack / Zoom में API keys शेयर करना

ये हमेशा के लिए history में रह जाती हैं। secret-sharing टूल्स (1Password / Doppler) का इस्तेमाल करें।

❌ संवेदनशील डेटा लॉग करना

console.log(req.headers) Authorization हेडर को उजागर कर देता है। आक्रामकता से मास्क करें।

❌ “किसी को पता नहीं चलेगा” मान लेना

Bots 5 सेकंड के अंदर keys ढूँढ़ लेते हैं और उनका दुरुपयोग शुरू कर देते हैं। हर commit को सार्वजनिक मानें।

निष्कर्ष

• .env को इंटरैक्टिव तरीक़े से सेट करें
• Pre-commit secret लीक्स पकड़ लेता है
• ऐतिहासिक commits का ऑडिट करें
• .env.example को सिंक रखें
• Prod secrets को Secrets Manager में माइग्रेट करें
• 90-दिन रोटेशन को ऑटोमेट करें
• इंसिडेंट प्लेबुक तैयार रखें
• CLAUDE.md में AI के व्यवहार को सीमित करें

Secret प्रबंधन एक प्रणालीगत समस्या है। Claude Code आपको ऐड-हॉक जाँचों से हटाकर यांत्रिक सुरक्षा-जालों की ओर ले जाता है।

संबंधित: Security Audit / Web Security Headers / Hooks Guide

आधिकारिक डॉक्स: Anthropic Claude Code / gitleaks