protect-my-env

Проекты, которые следуют приведенным ниже лучшим практикам, могут добровольно и самостоятельно оценить себя и продемонстрировать, что они получили значок Open Source Security Foundation (OpenSSF).

Не существует набора практик, гарантирующего, что у программного обеспечения никогда не будет недостатков или уязвимостей; даже формальные методы могут не помочь, если спецификации или допущения ошибочны. Также не существует какой-либо практики, которая могла бы гарантировать, что проект будет поддерживать здоровое и хорошо функционирующее сообщество разработчиков. Однако следующие хорошие правила могут помочь улучшить результаты проектов. Например, некоторые правила описывают ревью несколькими участниками перед выпуском, что может помочь найти технические уязвимости, которые было бы сложно найти другим способом, и помочь построить доверие и желание дальнейшего взаимодействия между разработчиками из разных компаний. Чтобы получить значок, нужно выполнить все критерии с ключевыми словами "НЕОБХОДИМО"/"ОБЯЗАН"/"НЕДОПУСТИМО", все критерии со словом "СЛЕДУЕТ" либо должны удовлетворяться, либо должно быть приведено обоснование их невыполнения, и все критерии со словом "ЖЕЛАТЕЛЬНО" могут быть удовлетворены ИЛИ неудовлетворены (желательно, чтобы они были хотя бы рассмотрены). Если вы хотите ввести общий комментарий вместо объяснения, почему текущая ситуация приемлема, начните текст с '//' и пробела. Приветствуется обратная связь через сайт на GitHub в виде issues или pull requests. Существует также список рассылки для общих вопросов.

Мы с удовольствием предоставляем информацию на нескольких языках, однако, если есть какой-либо конфликт или несоответствие между переводами, английская версия является авторитетной.

Если это ваш проект, пожалуйста, покажите свой значок на странице проекта! Статус значка выглядит следующим образом:

Уровень значка для проекта 12989 - in_progress

Вот как вставить его:

Вы можете показать свой статус значка, вставив его в файл с разметкой Markdown:

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/12989/badge)](https://www.bestpractices.dev/projects/12989)

- или HTML:

<a href="https://www.bestpractices.dev/projects/12989"><img src="https://www.bestpractices.dev/projects/12989/badge"></a>

Это критерии уровня

. Вы также можете просмотреть критерии уровня

или

.

Baseline Series: Базовый уровень 1 Базовый Уровень 2 Базовый Уровень 3

Основы 0/5 ●

Общая

Какое у проекта человекочитаемое название?

Обратите внимание, что другие проекты могут использовать то же имя.

Каково краткое описание проекта?

Protect My Env

<img src="https://raw.githubusercontent.com/marcuspmd/protect-my-env/master/icon.png" alt="Protect My Env Icon" width="128" /> Keep your .env secrets hidden on screen — without compromising your workflow. <a href="https://marketplace.visualstudio.com/items?itemName=marcusp.protect-my-env"> <img src="https://img.shields.io/visual-studio-marketplace/v/marcusp.protect-my-env?label=VS%20Code%20Marketplace&color=blue" alt="Marketplace Version" /> </a> <a href="https://marketplace.visualstudio.com/items?itemName=marcusp.protect-my-env"> <img src="https://img.shields.io/visual-studio-marketplace/d/marcusp.protect-my-env?color=green" alt="Downloads" /> </a> <a href="./LICENSE"> <img src="https://img.shields.io/badge/license-MIT-brightgreen" alt="MIT License" /> </a> <a href="https://github.com/marcuspmd/protect-my-env/actions/workflows/ci.yml"> <img src="https://github.com/marcuspmd/protect-my-env/actions/workflows/ci.yml/badge.svg" alt="CI" /> </a> <a href="https://github.com/marcuspmd/protect-my-env/actions/workflows/codeql.yml"> <img src="https://github.com/marcuspmd/protect-my-env/actions/workflows/codeql.yml/badge.svg" alt="CodeQL" /> </a> <a href="https://scorecard.dev/viewer/?uri=github.com/marcuspmd/protect-my-env"> <img src="https://api.securityscorecards.dev/projects/github.com/marcuspmd/protect-my-env/badge" alt="OpenSSF Scorecard" /> </a> <a href="https://codecov.io/gh/marcuspmd/protect-my-env"> <img src="https://codecov.io/gh/marcuspmd/protect-my-env/graph/badge.svg" alt="Coverage" /> </a>

Protect My Env Banner

🔐 Privacy & Security

Your secrets never leave your machine.

✅ Zero data collection — no environment variables, keys, or values are ever recorded, stored, or transmitted anywhere.
✅ No remote calls — the extension works entirely offline, with no telemetry, no analytics, and no external servers.
✅ Total privacy — everything happens locally inside your VS Code editor.

⚠️ Disclaimer: This extension does not protect your .env files from AI agents (such as GitHub Copilot, Cursor, or similar tools) that have direct access to your workspace files. We do not encrypt or obfuscate file contents on disk — the data remains readable by any process with file system access. Protect My Env is designed solely to prevent accidental exposure during screen sharing, recordings, live coding sessions, and pair programming. It is not a security tool for AI context isolation.

Why Protect My Env?

Every time you open a .env file in VS Code, your secrets are visible in plain text — in editor tabs, during screen shares, in recordings, and in pair-programming sessions. Protect My Env solves this by rendering secrets as masked characters from the very first frame, with zero workflow disruption.

Features

Feature	Description
🔒 Secure Editor	`.env` files open masked by default — no plaintext flash
👁️ Per-key Reveal	Reveal or hide individual values with a single click via CodeLens
🌐 Reveal All / Hide All	Toolbar buttons to toggle all values at once
🔍 Search & Sort	Filter by key or comment; sort by key column without touching file order
🎭 Two Masking Modes	`all` masks every key; `pattern` masks only keys matching glob patterns
💬 Comment Protection	Optionally mask full-line and inline comments too
✏️ Inline Editing	Edit values directly in the secure view
📝 Open as Text	Fall back to the standard VS Code editor any time

Preview

Protect My Env in action

Installation

From the Marketplace

Open VS Code.
Press Ctrl+Shift+X (or Cmd+Shift+X on macOS) to open the Extensions panel.
Search for Protect My Env.
Click Install.

From VSIX (manual)

npm install -g @vscode/vsce
vsce package

Then in VS Code: Extensions → ··· → Install from VSIX… and select the generated .vsix file.

Quick Start

Open any .env, .env.local, .env.production, or similar file.
The file opens automatically in Secure .env Mode — values are masked from the first render.
Use the CodeLens actions above each key:
- Reveal KEY — temporarily show the value
- Hide KEY — mask it again
Use the toolbar buttons to control all values at once:
- Reveal All Values (👁)
- Hide All Values (👁‍🗨)

Secure .env Mode

The custom editor opens .env files in a table view where secrets are masked before any rendering occurs — eliminating the "decoration flash" you get with text-editor overlays.

Search filters keys and comments in real time.
Click the Key column header to sort the view without altering the file.
Full-line comments appear as comment rows; inline comments show in a separate column.
Row action icons let you reveal, edit, add, or delete values (hover for tooltips).
Click Open as text at any time to switch to the regular VS Code editor.

Configuration

Add any of the following to your settings.json:

{
  "protectMyEnv.obfuscationMode": "all",
  "protectMyEnv.patterns": [
    "*_SECRET",
    "*_KEY",
    "*_PASSWORD",
    "*_TOKEN",
    "PASSWORD",
    "SECRET",
    "TOKEN",
    "KEY"
  ],
  "protectMyEnv.rules": [],
  "protectMyEnv.maskCharacter": "•",
  "protectMyEnv.maskLength": 8,
  "protectMyEnv.protectComments": false
}

Setting Reference

Setting	Type	Default	Description
`obfuscationMode`	`string`	`"all"`	`"all"` masks every key; `"pattern"` masks only keys matching `patterns`
`patterns`	`string[]`	see above	Glob patterns applied in `pattern` mode (case-insensitive)
`rules`	`string[]`	`[]`	Exact key names that are always masked regardless of mode
`maskCharacter`	`string`	`"•"`	Character used to render masked values
`maskLength`	`number`	`8`	Fixed mask length; set to `0` to match the original value length
`protectComments`	`boolean`	`false`	When `true`, masks full-line and inline comments

Development

Prerequisites

Node.js ≥ 18
VS Code ≥ 1.75

Setup

git clone https://github.com/marcuspmd/protect-my-env.git
cd protect-my-env
npm install
npm run compile

Press F5 to launch the Extension Development Host.

Testing

npm test                  # Run all unit tests
npm run test:watch        # Watch mode
npm run test:coverage     # With coverage report

Contributing

Contributions are welcome! Please read CONTRIBUTING.md before opening a pull request.

License

Publishing

npm run vscode:prepublish

Scripts

npm run compile
npm run esbuild-base
npm run esbuild
npm run watch
npm run vscode:prepublish
npm test
npm run test:watch
npm run test:coverage

Какой URL у проекта (целиком)?

https://github.com/marcuspmd/protect-my-env

Какой URL у хранилища с управлением версиями (он может быть таким же, как URL проекта)?

https://github.com/marcuspmd/protect-my-env

Под какой/какими лицензией/ями выпускается проект?

Используйте формат выражения лицензии SPDX; примеры включают «Apache-2.0», «BSD-2-Clause», «BSD-3-Clause», «GPL-2.0+», «LGPL-3.0+», «MIT» и «(BSD-2-Clause OR Ruby)».

Какие языки программирования используются для реализации проекта?

Если используется более одного языка, перечислите их через запятую (пробелы необязательны), и отсортируйте их от наиболее до наименее используемого. Если список длинный, пожалуйста, перечислите по крайней мере три наиболее распространенных. Если языка нет (например, это проект только для документации или только для тестирования), используйте один символ «-» (минус). Для каждого языка используйте общепринятую капитализацию названия, например «JavaScript».

Какой код Common Platform Enumeration (CPE) используется для проекта (если он есть)?

Common Platform Enumeration (CPE) - это структурированная схема именования для информационных систем, программного обеспечения и пакетов. Она используется в ряде систем и баз данных для отчетов об уязвимостях.

Другие общие замечания по проекту:

Предварительные требования

Criterion [achieve_silver]
Соответствует

Не соответствует

Проект ОБЯЗАН получить серебряный значок. ^{[achieve_silver]}
Надзор за проектом

Criterion [bus_factor]
Соответствует

Не соответствует

?

Проект ОБЯЗАН иметь «коэффициент автобуса» 2 или более. (Требуется URL) ^[bus_factor]
«Коэффициент автобуса» (или «коэффициент грузовика») - это минимальное количество участников проекта, которые должны внезапно исчезнуть из проекта («попасть под автобус»), чтобы проект заглох из-за отсутствия квалифицированного или компетентного персонала. Инструмент truck-factor может оценить это для проектов на GitHub. Для получения дополнительной информации см. статью Cosentino et al. Assessing the Bus Factor of Git Repositories.

Criterion [contributors_unassociated]
Соответствует

Не соответствует

?

Проект ОБЯЗАН иметь как минимум двух несвязанных значительных соавторов. (Требуется URL) ^{[contributors_unassociated]}
Соавторы связаны, если они оплачиваются работой одной и той же организации (как работник или подрядчик), и организация может выиграть от результатов проекта. Финансовые гранты не считаются находящимися в одной организации, если они проходят через другие организации (например, гранты на науку, выплачиваемые различным организациям из общего правительства или источника НПО, не приводят к тому, что вкладчики могут быть связаны). Соавтор считается значительным, если за последний год он(а) внес(ла) заметный вклад в проект. Примерами хороших показателей значительного соавтора являются: написано не менее 1000 строк кода, внесено 50 коммитов или предоставлено не менее 20 страниц документации.
Другое

Criterion [copyright_per_file]
Соответствует

Не соответствует

?

Проект ОБЯЗАН включать заявление об авторских правах в каждом исходном файле, указывая по крайней мере один соответствующий год и одного обладателя авторских прав. ^{[copyright_per_file]}
Это МОЖНО сделать, включив следующее в комментарий рядом с началом каждого файла: «Copyright [год создания этого проекта или контента] - [последний год изменений], [основатель проекта] and the [название проекта] contributors.»

Criterion [license_per_file]
Соответствует

Не соответствует

?

Проект ОБЯЗАН указывать лицензию в каждом исходном файле. Это МОЖЕТ быть сделано путем включения в комментарий рядом с началом каждого файла следующей строки: SPDX-License-Identifier: [SPDX-выражение лицензии для проекта]. ^{[license_per_file]}
Это МОЖЕТ также быть сделано путем указания лицензии на естественном языке. Проект МОЖЕТ также включать стабильный URL-адрес, указывающий на текст лицензии, или полный текст лицензии. Обратите внимание, что критерий license_location требует помещать лицензию проекта в стандартном расположении. См. этот учебник SPDX для получения дополнительных сведений об SPDX-выражениях лицензии. Обратите внимание на связь с критерием copyright_per_file, содержимое для которого обычно предшествует информации о лицензии.

Анализ 0/2 ●

Динамический анализ кода

Criterion [dynamic_analysis]
Соответствует

Не соответствует

Неприменимо

?

Проект ОБЯЗАН применять хотя бы один инструмент динамического анализа к любой предлагаемой основной версии ПО, создаваемого проектом до её выпуска. ^{[dynamic_analysis]}
Инструмент динамического анализа проверяет программное обеспечение, выполняя его с конкретными входными данными. Например, проект МОЖЕТ использовать инструмент фаззинг-тестирования (например, American Fuzzy Lop) или сканер веб-приложений (например, OWASP ZAP или w3af). В некоторых случаях проект OSS-Fuzz может быть готов применить фаззинг-тестирование к вашему проекту. Для целей этого критерия инструмент динамического анализа должен каким-то образом варьировать исходные данные, чтобы искать проблемы разного рода или быть автоматическим набором тестов с покрытием веток исполнения не менее 80%. Страница Википедии о динамическом анализе и cтраница OWASP о фаззинг-тестировании указывают некоторые инструменты динамического анализа. Использование инструмента/ов анализа МОЖЕТ, но не обязано быть сосредоточено на поиске уязвимостей в безопасности.

Criterion [dynamic_analysis_enable_assertions]
Соответствует

Не соответствует

Неприменимо

?

Проекту СЛЕДУЕТ включать достаточно много утверждений (assertions) времени выполнения в создаваемом им ПО и проверять эти утверждения во время динамического анализа. ^{[dynamic_analysis_enable_assertions]}
Этот критерий не предполагает включения утверждений на этапе эксплуатации; решение об этом полностью лежит на проекте и его пользователях. Вместо этого критерий направлен на улучшение обнаружения ошибок во время динамического анализа перед развертыванием. Использование утверждений при эксплуатации полностью отличается от такового во время динамического анализа (например, при тестировании). В некоторых случаях включать утверждения при эксплуатации крайне неразумно (особенно в компонентах с высокой степенью целостности). Существует множество аргументов против включения утверждений в выпускаемых сборках: например, библиотеки не должны вызывать сбой при вызове, присутствие утверждений может привести к отклонению магазинами приложений и/или активация их при рабочем использовании может привести к раскрытию частных данных, таких как закрытые ключи. Помните, что во многих дистрибутивах Linux NDEBUG не определен, поэтому C/C++assert() в таких рабочих средах по умолчанию будет включен. Может быть важно использовать другой механизм утверждений или определить NDEBUG для эксплуатации в этих средах.

Эти данные доступны по лицензии Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). Это означает, что получатель данных может распространять данные с изменениями или без них, при условии, что получатель данных предоставляет текст данного соглашения вместе с распространяемыми данными. Пожалуйста, укажите в качестве источника Marcus Paulo M Dias и участников OpenSSF Best Practices badge.

Владелец анкеты на значок проекта: Marcus Paulo M Dias.
2026-05-26 15:32:19 UTC, последнее изменение сделано 2026-05-26 15:33:32 UTC.

protect-my-env

Основы 0/5 ●

Общая

Protect My Env

🔐 Privacy & Security

Why Protect My Env?

Features

Preview

Installation

From the Marketplace

From VSIX (manual)

Quick Start

Secure .env Mode

Configuration

Setting Reference

Development

Prerequisites

Setup

Testing

Contributing

License

Publishing

Scripts

Предварительные требования

Надзор за проектом

Другое

Управление изменениями 1/4 ●

Публичное хранилище исходного кода с поддержкой версий

Качество 0/7 ●

Стандарты кодирования

Рабочая система сборки

Набор автотестов

Безопасность 0/5 ●

Основы правильного использования криптографии

Доставка, защищенная от атак посредника (MITM)

Другие вопросы безопасности

Анализ 0/2 ●

Динамический анализ кода