技能 environment-setup

📦

environment-setup

Name: environment-setup
Author: supercent-io

中风险 🔑 环境变量⚙️ 外部命令

在开发、暂存和生产环境中设置环境变量

在多个环境中管理环境变量容易出错且耗时。此技能提供 .env 文件模板和最佳实践、TypeScript 配置验证以及 Docker 环境处理，帮助您首次就能正确设置环境。

支持: Claude Codex Code(CC)

⚠️ 62 差

下载技能 ZIP

在 Claude 中上传

前往设置 → 功能 → 技能 → 上传技能

开启并开始使用

测试它

正在使用“environment-setup”。为 Node.js API 创建 .env 模板

预期结果:

生成 .env.example，包含应用程序、数据库、Redis、身份验证、电子邮件 (SMTP)、外部 API (Stripe)、AWS、监控 (Sentry) 和功能标志部分。每个部分都包括解释变量用途的注释。

正在使用“environment-setup”。使用 Zod 添加环境验证

预期结果:

创建 config/env.ts，带有 Zod 模式，验证 DATABASE_URL 是有效的 URL，JWT 密钥至少 32 个字符，SMTP_PORT 是数字，LOG_LEVEL 是 error/warn/info/debug 之一。验证失败时抛出描述性错误。

正在使用“environment-setup”。为环境文件生成 .gitignore 规则

预期结果:

添加了防止提交 .env 文件的规则：.env、.env.local、.env.*.local 和 .env.production。创建了 .gitignore 内容块，准备复制到项目中。

安全审计

中风险

v1 • 3/19/2026

This skill is a documentation/education resource that provides templates and best practices for environment configuration. Static analysis flagged many patterns (credential examples, dotenv usage, environment variable access) but these are all placeholder examples in documentation, not actual executable code. The skill declares Read Write Edit Bash permissions, which is appropriate for configuration management. No malicious intent detected - all flagged patterns are legitimate documentation content. Users should be aware this skill can modify configuration files.

已扫描文件

378

分析行数

发现项

审计总数

中风险问题 (2)

SKILL.md:32-56

Educational Documentation Contains Credential Patterns

SKILL.md contains example .env templates with placeholder credentials (DATABASE_URL, AWS keys, SMTP passwords). These are documentation examples showing users how to structure their own configuration, not actual secrets. The skill does not exfiltrate or misuse these values.

SKILL.md:4

Broad Tool Permissions Declared

The skill declares allowed-tools: Read Write Edit Bash, providing broad file system and command execution capabilities. This is necessary for configuration management but means the skill could modify any file if given malicious instructions.

低风险问题 (2)

SKILL.md:169-189

Environment Variable Access in Documentation

Code examples show process.env usage patterns. These are educational examples teaching users how to access environment variables in TypeScript applications, not actual runtime environment access by the skill.

SKILL.md:29-61

Hardcoded URLs in Documentation Examples

Documentation contains example URLs (localhost:3000, sentry.io, myapp.com). These are placeholder examples showing URL formats, not actual network endpoints.

风险因素

🔑 环境变量 (5)

SKILL.md:32 SKILL.md:55-56 SKILL.md:107 SKILL.md:127 SKILL.md:173

⚙️ 外部命令 (1)

SKILL.md:25-67

检测到的模式

Heuristic: Documentation Pattern Confusion

审计者: claude

质量评分

架构

100

可维护性

内容

社区

安全

规范符合性

你能构建什么

为新项目初始化环境配置

设置完整的环境配置结构，包括 .env.example、TypeScript 验证和每个环境的配置，以确保团队设置的一致性。

将遗留配置迁移到类型安全的环境处理

使用经过验证的 Zod 模式和集中式配置管理替换临时的 process.env 访问，以提高可靠性和类型安全性。

准备生产部署配置

创建特定于生产环境的模板，带有用于从 CI/CD 流水线或密钥管理器注入机密的变量插值。

试试这些提示

为我的 Node.js 项目创建 .env 模板

我需要一个用于 Node.js 应用程序的 .env.example 模板，该应用程序使用 PostgreSQL、Redis 并通过 SMTP 发送电子邮件。包括用于身份验证、数据库连接池和功能标志的常见变量。

为现有配置添加环境验证

在我们现有的 config/index.ts 中添加 Zod 验证，以确保在启动时存在所有必需的环境变量并正确格式化。包括带有清晰消息的错误处理。

设置多环境 Docker 配置

创建一个 docker-compose.yml，包含用于开发和生产的独立环境配置。对本地开发使用 env_file，对生产使用环境变量。包括 PostgreSQL 和 Redis 服务。

实现密钥轮换准备

设置环境配置以在生产中支持 AWS Secrets Manager 进行凭据注入，同时在开发中使用本地 .env 文件。包括两种场景的验证。

最佳实践

始终使用 .env.example 作为已提交的模板，显示所需变量而不包含实际机密
在应用程序启动时使用 Zod 实现运行时验证，以尽早捕获缺失的配置
使用特定于环境的配置文件来保持特定于环境的逻辑有条理且可维护

避免

不要将包含实际凭据的实际 .env 文件提交到版本控制
避免在整个代码中直接访问环境变量；使用集中式配置模块
不要对机密使用弱默认值；在生产中需要显式配置

常见问题

使用此技能时如何保护我的机密安全？

切勿将包含实际凭据的 .env 文件提交到版本控制。使用 .env.example 作为显示所需变量的模板，然后将其复制到 .env.local 用于本地开发。在生产中，从环境变量、AWS Secrets Manager 或 HashiCorp Vault 注入机密。

此技能可以连接到我的数据库来验证凭据吗？

不，此技能生成配置模板和代码示例。它无法验证您的数据库凭据是否实际有效。生成后请手动测试您的配置。

.env 和 .env.local 之间有什么区别？

.env 文件通常作为模板提交（不包含机密）以向团队成员显示需要哪些变量。.env.local 文件包含带有实际机密的本地覆盖，应添加到 .gitignore 中。

如何处理开发与生产的不同值？

使用单独的配置文件，如 config/environments/development.ts 和 config/environments/production.ts。根据 NODE_ENV 加载适当的配置。在 docker-compose 中，对生产值使用 environment:，对本地开发使用 env_file:。

为什么应该使用 Zod 进行环境验证？

Zod 在运行时验证环境变量并提供清晰的错误消息。这可以在导致应用程序逻辑深处出现难以理解的错误之前尽早捕获配置错误。它还提供 TypeScript 类型推断。

我可以将此项技能用于 TypeScript 以外的语言吗？

此技能专注于 TypeScript 示例，但核心概念适用于任何语言。.env 文件模板、docker-compose 配置和 .gitignore 规则是通用的。您可以根据自己的语言选择调整验证模式。

开发者详情

作者

supercent-io

许可证

MIT

仓库

https://github.com/supercent-io/skills-template/tree/main/.agent-skills/environment-setup/

引用

main

文件结构

📄 SKILL.md

📄 SKILL.toon