SANTA-IA
Clase 01 · Seguridad

El .env nunca sube a Git

práctica
01

El .env nunca sube

Tu archivo de llaves vive en el proyecto. Si sube a GitHub, las llaves quedan expuestas para siempre. Necesitas una valla que lo impida.

02

El .gitignore: la primera puerta

Git tiene una lista de prohibidos. Escribe .env ahí y git lo ignora. Una línea. Eso es la diferencia entre una llave protegida y expuesta.

EL .gitignore ES LA PUERTA TU PROYECTO en tu computador tu códigolo que construyes.env.examplela plantilla sin llaves.envtus llaves secretas.gitignoreel guardián.env se quedael resto subeGitHubla nube pública una sola línea en ese archivo y la llave nunca sale de tu máquina.
El .gitignore es la puerta. El .env se queda. El resto sube.
03

El trío que nunca falla

Tres archivos: .env real (ignorado), .gitignore (la regla), .env.example (plantilla vacía que sí sube). La línea !.env.example es la excepción.

TRES ARCHIVOS QUE TRABAJAN JUNTOS .gitignoreel guardia.envbloquea los secretos!.env.exampledeja pasar la plantilla.envAPI_KEY=sk-7Q2f9aXzDB_PASS=miClaveRealTOKEN=ghp_a8d3K0IGNORADO · NUNCA SUBE.env.exampleAPI_KEY=DB_PASS=TOKEN=SÍ SUBE · SIN VALORESla nuberepo público.examplesolo la plantilla el .gitignore bloquea tus secretos. la excepción deja pasar solo el molde vacío.
Tus claves se quedan en casa. A la nube solo viaja el molde vacío.
04

Antes del primer commit

Configura el .gitignore primero. Si subes el .env una vez, sigue vivo en el historial aunque lo borres. Problema que no existe si está bien desde el minuto uno.

05

Qué más se ignora

Las llaves sueltas .key o .pem, los JSON de credenciales, bases de datos locales y datos de clientes. En DS-FORGE, copiar .env.example y llenarla es el primer paso.

Volver a Seguridad

hecho con mucho amor

espero les sea útil

santa-ia · 2026 · @santaia.lab