

我們最近幫一家客戶做 code review,打開他們的 Git repo 掃了一輪,掃出來的東西讓工程主管臉都綠了:`.env.production` 檔案裡有 47 個 API key、資料庫連線字串、金流平台的密鑰,全都以純文字形式 commit 進 main branch,過去兩年裡經手過的 8 位工程師都能看到。
這是中小企業 secrets 治理最典型的災難。不是被駭客攻擊,而是自己的疏忽把商業機密散播在整個 Git 歷史紀錄裡。離職員工只要 clone 一次 repo,這些 key 帶著走一輩子,你完全查不到誰在用。
2026 年 GitGuardian State of Secrets Sprawl Report 統計:全球 GitHub 公開 repo 每年新增超過 2,300 萬個洩漏的 secrets,其中 65% 來自中小企業。同一份報告指出:secrets 洩漏後平均 5.6 天才會被發現,發現後平均 108 天才會撤銷。攻擊者只要 24 小時就能把 API key 換成現金。
這篇要幫中小企業老闆與工程主管做兩件事:一是拆解為什麼 secrets 管理不能只靠 .env 檔案,二是給你一份 4 條採購路徑的決策框架(HashiCorp Vault / AWS Secrets Manager / Doppler / 自架),以及對應 3 種團隊規模的預算試算。
為什麼 .env 檔案 + Git 這套組合會爛掉?
先講清楚問題本質。多數中小企業工程團隊會用 `.env` 檔案存 secrets,然後把 `.env` 加進 `.gitignore` 避免被 commit。看起來合理,但實際上會在四個地方漏水。
- 1. 新人 onboard:資深工程師要把 .env 內容用 Slack 私訊給新人,這份訊息永遠不會被撤回。
- 2. 環境同步:dev / staging / production 三份 .env 不同步,工程師手動維護三份,隨時出錯。
- 3. 部署:CI/CD 需要 secrets,工程師把 .env 內容以「環境變數」形式塞進 GitHub Actions / GitLab CI,這些歷史記錄一樣不會消失。
- 4. 稽核:老闆問「上週離職的小陳能拿到我們資料庫的 root 密碼嗎?」工程主管答不出來,因為 .env 完全沒有審計軌跡。
這四個漏水點的共同源頭是「secrets 沒有集中管理平面」。工程師各自持有明文檔案,沒有存取控制、沒有審計 log、沒有 rotation 機制。secrets management 平台的核心價值就是把這四件事集中處理。
4 條採購路徑總覽
市面上 secrets management 大致分四條路徑,分別對應不同規模與雲端策略。
路徑 | 代表產品 | 定價(10 人團隊) | 雲端綁定 | 主要適合 |
|---|---|---|---|---|
純 SaaS 開發者友善 | Doppler / Infisical | $0 到 $100 / 月 | 無 | 中小企業首選 |
主力雲端內建 | AWS Secrets Manager / Google Secret Manager | $40 到 $150 / 月 | 有 | 單雲策略 |
企業級平台 | HashiCorp Vault Cloud / CyberArk Conjur | $200 到 $800 / 月 | 無 | 跨雲、法遵嚴格 |
自架開源 | Vault OSS / Infisical OSS / SOPS | 伺服器成本 $30 到 $80 / 月 + 工時 | 無 | 有專職 DevOps |
這張表看下來,中小企業 10 人以下工程團隊最常見的兩條路:Doppler / Infisical SaaS,或走已經在用的雲端內建(AWS / GCP / Azure)。10 到 50 人團隊有專職 DevOps 才會考慮自架,50 人以上或有法遵需求才會上 HashiCorp Vault Cloud。
路徑一:Doppler / Infisical — 中小企業首選 SaaS
Doppler 跟 Infisical 是這兩年崛起的開發者友善型 secrets management SaaS,設計哲學是「讓工程師不需要學 Vault 那套 policy language 就能上手」。核心 workflow:把 secrets 集中存在 SaaS 後台 → 工程師本地跑 doppler run 自動注入環境變數 → CI/CD 用 service token 拉取。
Doppler 的甜蜜點是「跨環境同步」:dev / staging / production 三份 secrets 集中管理,環境間差異一目瞭然。工程師本地不再需要 .env 檔案,離職時只要撤銷 Doppler 帳號 + rotate 一次 secrets,所有他曾接觸過的 key 一起換掉。
Infisical 是 Doppler 的開源替代品,功能重疊 80%,適合想避開 SaaS 綁定或想自架的團隊。Infisical Cloud 免費層對 5 人以下團隊很友善,付費層從 $8 / 用戶 / 月起。
對比項目 | Doppler | Infisical |
|---|---|---|
定價(10 人) | $168 / 月 起 | $80 / 月 起 |
開源 | 否 | 是(MIT) |
自架選項 | 無 | 有 |
整合數量 | 150+ 平台 | 80+ 平台 |
Audit log 保留 | 30 到 365 天(依方案) | 7 到 90 天 |
適合 | 純 SaaS、追求 UX | 開源偏好、想保留自架選項 |
ℹ️我們做過這件事
順帶說一下,我們公司自己內部就在跑類似的 secrets 治理:所有 API key、資料庫密碼、雲端憑證都走集中管理平台,本地開發環境用一鍵注入取代 .env,CI/CD 用 short-lived token 存取。這裡分享的採購決策框架與預算試算,都是我們自己踩過幾套工具、加上替客戶做過導入評估後才寫的。
如果你也在想「我們公司現在的 secrets 到底散在哪裡、誰能看到、離職員工權限有沒有撤乾淨」,這類 secrets 治理與 DevOps 平台建置在我們的 客製化系統開發 服務範圍內。可以把你團隊目前的技術棧丟過來,我們陪你聊聊要怎麼設計最適合你們規模的採購路徑。
路徑二:AWS Secrets Manager / Google Secret Manager — 單雲策略
如果你的基礎架構已經 100% 押在 AWS 或 GCP 上,用該雲端內建的 secrets manager 通常是最省事的選擇。優勢:IAM 權限跟其他 AWS / GCP 服務整合、Lambda / EC2 / Cloud Run 直接抓取不用額外 SDK、rotation 可跟 RDS / Cloud SQL 直接串。
AWS Secrets Manager 定價:每個 secret $0.40 / 月 + API 呼叫每 10,000 次 $0.05。10 人團隊管理 50 個 secrets 加 CI/CD 每月呼叫 20 萬次,月費約 $21 美元。Google Secret Manager 更便宜,每個 secret 每月免費 6 個 access + $0.03 / 10,000 次呼叫。
缺點:跨雲場景(例如 AWS 主力 + Cloudflare Workers + GCP BigQuery)就會變成 3 套 secrets manager 並存,違反「集中管理」原則。這時候該回頭考慮 Doppler / Infisical / Vault 這種雲端無關方案。
路徑三:HashiCorp Vault — 企業級 + 法遵重點
HashiCorp Vault 是這個領域的老牌旗艦,用戶包括 Adobe、Spotify、Uber。核心優勢:dynamic secrets(動態產生短期 credential)、加密即服務、跨雲一致性、極細緻的 policy 語言。這些對大型企業或法遵嚴格的產業(金融、醫療、政府)是必需,對中小企業則是 overkill。
Vault 有兩條走法:HashiCorp Cloud Platform(HCP Vault,SaaS 版)從 $0.03 / 秒 起,10 人團隊月費約 $200 到 $500 美元;Vault OSS 自架是免費但需要專職 DevOps 維護(HA cluster、backup、TLS 憑證、升級測試),實際隱藏成本每月約 $500 到 $1,500 美元的工時。
中小企業什麼時候該考慮 Vault?三個訊號:一是要跨 3 個以上雲端 / 資料中心;二是有金融、醫療、政府法遵稽核;三是需要 dynamic secrets(例如每次 database query 都動態發一個 30 分鐘過期的 credential)。任何一條中就可以考慮,三條全中一定要上。
路徑四:自架開源 — 有專職 DevOps 才考慮
自架路徑主要三個選項:Vault OSS、Infisical OSS、SOPS + KMS。SOPS 是 Mozilla 開源的加密工具,跟 AWS KMS / GCP KMS 搭配用來加密 YAML / JSON 檔案,適合 GitOps 工作流。
自架工具 | 定位 | 隱藏工時(月) | 主要風險 |
|---|---|---|---|
Vault OSS | 企業級功能 | 20 到 40 小時 | 升級、HA、憑證輪替 |
Infisical OSS | 開發者友善 | 10 到 20 小時 | 升級節奏快、社群小 |
SOPS + KMS | 檔案加密 | 5 到 10 小時 | 無 UI、稽核靠 Git log |
我們的建議:中小企業沒有 3 位以上專職 DevOps 就別自架 Vault,隱藏工時會吃掉你以為省下的授權費。SOPS + KMS 是「輕自架」的合理選項,適合已在跑 GitOps 且工程團隊有 5 到 15 人的中小企業。
5 個採購決策節點
四條路徑講完,給你 5 個決策節點的判斷框架。走完這 5 個 yes/no,答案通常就浮現了。
節點一:你目前的雲端策略是單雲還是多雲?
100% 押 AWS 或 GCP → 從內建 Secrets Manager 起步。多雲或有 Cloudflare Workers / Vercel / 客戶自有基礎建設 → 走 Doppler / Infisical / Vault。這個決策 60% 的中小企業會落在單雲。
節點二:工程團隊規模?
5 人以下:Infisical Cloud 免費層 / AWS Secrets Manager;5 到 20 人:Doppler / Infisical 付費層;20 到 50 人有 DevOps:可考慮 Vault Cloud 或 Vault OSS 自架;50 人以上或多團隊:Vault 或 CyberArk。
節點三:有法遵稽核需求嗎?
有金融、醫療、政府法遵稽核 → Vault 或 CyberArk(需要 FedRAMP / HIPAA / PCI-DSS 認證)。純電商、SaaS、內容業 → SaaS 級選項通常足夠。
節點四:需要 dynamic secrets 嗎?
Dynamic secrets 是「每次存取都動態發一個短期 credential」,過期後自動撤銷。這個功能對防範 credential leak 極有效,但架構複雜度高。中小企業建議先做好 static secrets rotation(每 90 天輪替),成熟後再考慮 dynamic。
節點五:預算天花板?
$100 / 月以下:Infisical / Doppler Team / AWS Secrets Manager;$100 到 $500 / 月:Doppler Business / Vault Cloud 入門;$500+ / 月:Vault Enterprise / CyberArk。抓預算時記得加上 rotation 工時、CI/CD 整合工時、員工訓練工時。
3 種團隊規模預算試算
把 5 個決策節點套進實際規模,試算三種常見場景的第一年總擁有成本。
規模 | 推薦組合 | 授權費 / 年 | 導入工時 | 第一年總 TCO |
|---|---|---|---|---|
5 人團隊、單雲 AWS | AWS Secrets Manager + 內部 SOP | $250 | 20 小時 | 約 NT$40,000 |
15 人團隊、多雲 | Doppler Team + 每季 rotation | $2,000 | 40 小時 | 約 NT$110,000 |
40 人團隊、有法遵 | Vault Cloud + 專職 DevOps 半人 | $6,000 | 120 小時 | 約 NT$550,000 |
三個規模的共同點:第一年總擁有成本裡「工時」比「授權費」大 3 到 10 倍。這是很多中小企業採購時忽略的隱藏成本——不是買了工具就有 secrets 治理,是「有人願意花時間把它跑起來」才算數。
下一步:把 secrets 治理放進今年 DevOps 路線圖
看到這裡,如果你也在想「我們公司的 secrets 到底散在多少地方、離職員工權限有沒有撤乾淨、CI/CD 用的 token 幾百年沒換」——這些問題我們每次做客戶 code review 都會踩到。
可以把你團隊目前的技術棧、雲端策略、團隊規模丟過來,我們陪你 聊聊哪一條採購路徑最適合,以及 90 天內能落地的最小可行方案是什麼。這階段我們陪你想,後面真的要導入 SaaS 或自架平台再談範圍跟費用。
ℹ️我們怎麼看
Secrets management 這件事很像 2015 年前後的 Git 使用習慣普及:一開始只有大公司做,後來變成任何工程團隊的基本功。我們的判斷是:3 年後中小企業沒有集中式 secrets 平台,會變成投資審核、法遵稽核、大客戶合作審核的直接減分項。對中小企業老闆與工程主管而言,現在不用急著上 HashiCorp Vault 這種企業級平台,但要開始做兩件事:一是選一個入門 SaaS(Doppler / Infisical / AWS Secrets Manager 三選一)先把現有 secrets 集中;二是把「離職員工 24 小時內完成 secrets rotation」寫進 HR SOP。這兩件事花費最少、擋掉的風險最大。
Secrets 治理入門 checklist 下載
把上面 5 個決策節點 + 4 條採購路徑 + 3 種團隊規模預算試算整理成一張 A4 checklist,工程主管與 CTO 可以直接印出來對照現況打勾。下載 Secrets 治理入門 checklist(PDF)
Q我們公司只有 3 位工程師,一定要用 secrets management 平台嗎?
要,但可以走輕量方案。3 位工程師用 Infisical Cloud 免費層或 AWS Secrets Manager 就足夠,重點不是「用什麼工具」,而是「別再把 .env 檔案透過 Slack 私訊傳給新人」。工具選最便宜的都比繼續散亂管理好。
QAWS Secrets Manager 跟 Doppler 選哪個?
看雲端策略。100% AWS → 直接用 AWS Secrets Manager,跟 IAM、Lambda、RDS rotation 整合最順。有多雲或非 AWS 部署(Vercel、Cloudflare Workers、GCP BigQuery)→ 走 Doppler / Infisical,避免多套 secrets manager 並存。
QHashiCorp Vault 自架真的免費嗎?
授權費是免費,但隱藏工時每月 20 到 40 小時(HA cluster 維護、TLS 憑證輪替、升級測試、backup)。10 人以下團隊沒有專職 DevOps,實際成本比 Vault Cloud SaaS 還高。中小企業建議直接走 Doppler / AWS / Vault Cloud。
Q離職員工的 API key 什麼時候該 rotate?
24 小時內。實務做法:HR 系統跟 secrets management 平台整合,員工 offboarding 觸發一個工作流:撤銷帳號 → 標記所有他曾存取的 secrets 為「需要 rotate」→ 工程主管 24 小時內完成 rotation。這比事後追殺離職員工帶走什麼 key 有效 10 倍。
QCI/CD pipeline 需要用 secrets,Doppler 怎麼整合?
用 service token 而不是個人 token。在 Doppler 後台開一個 service token 綁定特定專案 + 環境,設定 IP 白名單只允許 CI/CD 出口 IP,token 存放在 GitHub Actions Secrets / GitLab CI Variables。這樣做可以精準審計「哪次 build 存取了哪些 secrets」,同時撤銷 service token 不影響工程師本地使用。
AUTHOR
恆遠數位編輯團隊
想了解更多?看看我們的相關服務
相關文章

中小企業老闆 AI 寫程式合規稽核完整指南:Cursor / Copilot / Claude Code 4 條法遵紅線、5 個資料外洩情境、3 條稽核模板

我們公司怎麼跑出 20+ AI 流程?系列第 5 篇:內部週報 dashboard 自動生成 SOP,4 個資料來源、3 條品質規則、2 個 human-in-the-loop 節點

公司網域 email 冒名詐騙止血 SOP:SPF / DKIM / DMARC / BIMI 4 條防護配置 + 3 種釣魚攻擊拆解完整指南

AI 生成音訊與語音商用著作權合規完整指南:ElevenLabs / Suno / Descript 5 條紅線 + 3 種商用場景踩雷

中小企業客戶入口網站採購完整指南:Zendesk / Salesforce Experience Cloud / 自架 3 條路徑、6 個決策、5 條合約紅線、90 天上線 SOP

留言(0)
尚無留言,成為第一個留言的人吧!