Secretlint v9.1.0 版本发布：增强 .env 文件检测能力

Secretlint 是一个专注于检测代码中意外提交的敏感信息的开源工具，它能够帮助开发者在代码提交前发现并移除诸如 API 密钥、数据库凭证等敏感数据。该项目通过可配置的规则集支持多种敏感信息模式的检测，是现代开发工作流中重要的安全防线。

核心功能增强

本次 v9.1.0 版本最重要的改进是为 no-dotenv 规则新增了 allowFileNames 配置选项。这个功能增强使得开发者能够更灵活地控制对 .env 文件的检测策略。

在软件开发中，.env 文件常用于存储环境变量，但直接提交包含敏感信息的 .env 文件到版本控制系统是一个常见的安全隐患。传统做法是简单地禁止所有 .env 文件，但这在实际项目中可能过于严格，因为：

1. 项目中可能存在仅包含非敏感配置的 .env 示例文件（如 .env.example）
2. 某些框架或工具可能依赖特定命名的 .env 文件变体

通过新增的 allowFileNames 选项，开发者现在可以精确指定哪些 .env 文件变体是被允许的。例如，可以配置允许 .env.example 和 .env.local 文件，同时仍然禁止标准的 .env 文件。这种细粒度的控制使得安全策略能够更好地适应实际项目需求。

技术实现细节

从技术实现角度看，这个功能增强涉及以下方面的改进：

1. 规则配置接口扩展：新增了 allowFileNames 作为可选配置项，支持字符串数组形式
2. 文件路径匹配逻辑：实现了基于配置的白名单匹配机制
3. 错误报告优化：当检测到禁止的 .env 文件时，错误信息会明确指出被禁止的具体文件名

这种实现方式保持了 Secretlint 一贯的灵活性和可配置性，同时提供了更强的实用性。

安全建议与最佳实践

基于这个新功能，我们建议开发团队：

1. 明确区分包含真实敏感信息的 .env 文件和仅作为示例的模板文件
2. 在项目文档中清晰说明各种 .env 文件变体的用途
3. 结合 Git 的 .gitignore 机制，实现多层次的防护
4. 在 CI/CD 流程中配置 Secretlint 检查，作为最后一道防线

其他改进

除了核心功能增强外，本次发布还包含多项依赖更新和文档改进：

1. 安全相关依赖升级，包括 secp256k1 和 elliptic 等重要安全库
2. 文档语法修正和内容优化，提升可读性
3. 开发工具链更新，包括 yarn 和各类 TypeScript 类型定义

这些改进虽然不直接影响功能，但提升了项目的安全性、稳定性和开发体验。

升级建议

对于现有用户，升级到 v9.1.0 是推荐的，特别是：

1. 需要更灵活控制 .env 文件检测的项目
2. 关注依赖安全性的团队
3. 使用较新 Node.js 版本的环境

升级过程应该是平滑的，但建议在测试环境中先验证配置的兼容性，特别是如果项目中有自定义规则或复杂配置的情况。

Secretlint 持续演进的安全检测能力使其成为现代开发工作流中不可或缺的工具，v9.1.0 的发布进一步强化了其在敏感信息防护方面的实用性和灵活性。