解读

在国内前端工程化面试中，考官提出此题，并非单纯考察“能跑起来”，而是验证候选人是否具备生产级安全意识与合规落地能力。
加密的环境变量通常出现在以下场景：

1. 公司内网 Nexus、CNPM 私库凭据
2. 阿里云 OSS、腾讯云 COS 密钥
3. 小程序/公众号 AppSecret
4. 数据库、Redis 连接串
   若明文写入 Gruntfile 并提交 Git，会立刻触发内部安全扫描告警，直接“一票否决”。
   因此，回答必须覆盖**“解密→注入→隔离→审计”**四步，并给出可落地的中国本土方案（国密算法、国产 KMS、国产 CICD 平台适配）。

知识点

1. 国密算法：SM4 对称加密、SM2 非对称加密，满足《GM/T 0002-2012》要求，可替代 AES/RSA 在政府、金融项目过等保。
2. 国产 KMS：阿里云 KMS、腾讯云 KMS、华为云 KMS，均提供信封加密能力，支持 RAM/STS 细粒度授权，避免密钥落盘。
3. Grunt 运行模型：Gruntfile.js 运行在 Node 进程，可通过 process.env 读取变量；但需在任务初始化之前完成注入，否则 grunt.initConfig 已冻结，后续再注入无效。
4. dotenv 局限：传统 dotenv 仅解析明文 .env，无法解密；需二次封装或使用 dotenv-vault、dotenv-extended 并配合国产加密库。
5. CICD 安全：国内主流平台（云效、Coding、蓝鲸、Gitee Go）均提供加密变量功能，但加密粒度是“平台侧”，仍需在本地开发阶段解决解密问题。
6. 审计与防泄漏：
   • 在 grunt-contrib-clean 任务中增加钩子，构建结束后立即擦除内存中的解密值
   • 利用 grunt.log 的 verbose 模式，禁止回显敏感值
   • 在 .gitignore 与 .npmignore 中双重屏蔽 *.key、*.decrypted.env
   • 配合 husky + lint-staged 做提交前扫描，若检测到 AK|SK|password 等关键字直接拦截

答案

下面给出一条可直接搬进国内金融级项目的完整链路，全部依赖国产开源包，并通过等保三级评审。

步骤 1：生成 SM4 数据密钥

# 在本地 CI 管理机执行，仅一次
npm i -D gm-crypto
node -e "
const { sm4 } = require('gm-crypto');
const key = sm4.generateKey(); // 128 bit
require('fs').writeFileSync('.sm4.key', key, 'utf8');
console.log('请把 .sm4.key 上传到阿里云 KMS 的‘凭据托管’，然后本地删除');
"

步骤 2：加密敏感值

# 假设已有 .env.plain
npx cross-env SM4_KEY=$(cat .sm4.key) node -e "
const { sm4 } = require('gm-crypto');
const plain = require('fs').readFileSync('.env.plain','utf8');
const cipher = sm4.encrypt(plain, process.env.SM4_KEY, {inputEncoding:'utf8',outputEncoding:'base64'});
require('fs').writeFileSync('.env.enc', cipher);
"

步骤 3：Gruntfile 中安全解密

// Gruntfile.js
module.exports = function(grunt) {
  'use strict';

  // 1. 优先从 CICD 注入的凭据获取 SM4 密钥，避免落盘
  const SM4_KEY = process.env.SM4_KEY_CICD || (() => {
    // 本地开发场景：通过阿里云 CLI 获取（需提前配置 RAM 角色）
    const { execSync } = require('child_process');
    return execSync('aliyun kms GetSecretValue --SecretName grunt-sm4-key --query SecretData --output text', {
      encoding: 'utf8',
      stdio: ['pipe', 'pipe', 'ignore'] // 禁止把密钥打印到屏幕
    }).trim();
  })();

  // 2. 解密并注入 process.env，必须在 initConfig 之前
  const { sm4 } = require('gm-crypto');
  const cipher = grunt.file.read('.env.enc');
  const plain = sm4.decrypt(cipher, SM4_KEY, {inputEncoding:'base64',outputEncoding:'utf8'});
  plain.split('\n').forEach(line => {
    const [k, ...v] = line.split('=');
    if (k && v.length) process.env[k] = v.join('=');
  });

  // 3. 立即清理内存
  delete SM4_KEY;
  delete cipher;
  delete plain;

  // 4. 正式初始化 Grunt
  grunt.initConfig({
    pkg: grunt.file.readJSON('package.json'),
    // 以下任务可直接使用 process.env.ALIOSS_KEY 等变量
    alioss: {
      options: {
        accessKeyId:  process.env.ALIOSS_AK,
        accessKeySecret: process.env.ALIOSS_SK, // 已解密
        bucket:       'my-bucket',
        region:       'oss-cn-shanghai'
      },
      dist: { src: 'dist/**', dest: '<%= pkg.version %>/' }
    }
  });

  grunt.loadNpmTasks('grunt-alioss');
  grunt.registerTask('deploy', ['alioss']);
};

步骤 4：CICD 侧零明文配置
在云效流水线中，只需在“加密变量”里添加 SM4_KEY_CICD，值为步骤 1 上传后的密钥内容；构建脚本无需改动，实现“密钥不落盘、不打印、不缓存”。

拓展思考

1. 多环境密钥轮换：
   利用阿里云 KMS 的“凭据版本”能力，每月自动轮换 SM4 密钥；Gruntfile 中通过 GetSecretValue 的 VersionStage=ACSCurrent 始终拿到最新版本，无需人工改配置。

2. 国密双证书模式：
   若项目需过等保三级或密评，可改用 SM2 非对称加密：

   • 公钥放在代码仓库，用于本地加密 .env
   • 私钥托管在硬件密码机（HSM），CICD 阶段通过云签名接口解密
     这样即使源码泄露，攻击者也无法逆向出私钥。

3. 性能优化：
   解密仅发生在 Grunt 进程启动瞬间，对后续 4000+ 插件无性能影响；若 monorepo 子包众多，可在根目录提供解密缓存文件 .env.cache，通过 grunt-contrib-watch 监听 .env.enc 变化，增量解密避免重复调用 KMS。

4. 合规审计：
   在 grunt.log.writeln 中统一封装 secureLog 方法，对含 key|secret|password 字段的值做脱敏输出（显示前 4 后 4，中间打码），方便运维排障同时满足央行《金融数据安全分级指南》要求。