Faux positif: .env.example flaggé comme secret tracké dans git #53

New issue

Closed

opened 2026-04-08 17:48:29 +00:00 by maximus · 0 comments

maximus commented 2026-04-08 17:48:29 +00:00

Owner

Copy link

Contexte

Le defenseur-simpl-liste a identifié un finding CRITICAL :

.env file tracked in git: web/.env.example
The file "web/.env.example" is tracked by git and may contain secrets.

Analyse

Le fichier web/.env.example est un template contenant uniquement des placeholders vides et des URLs publiques. Il ne contient aucun secret réel.

C'est un faux positif du check secrets-env-tracked qui flag tout fichier .env* tracké dans git, sans distinguer les .env.example (templates) des vrais .env.

Options

1. Corriger la détection dans defenseurs : exclure les .env.example / .env.sample du check secrets-env-tracked
2. Renommer le fichier (ex: env.template) pour éviter le pattern .env*
3. Accepter le finding et le marquer comme faux positif

Recommandation

Option 1 — corriger la détection dans defenseurs pour ignorer les fichiers .env.example et .env.sample.

---

Identifié par defenseur-simpl-liste le 2026-04-08

## Contexte Le defenseur-simpl-liste a identifié un finding CRITICAL : > **.env file tracked in git: web/.env.example** > The file "web/.env.example" is tracked by git and may contain secrets. ## Analyse Le fichier `web/.env.example` est un **template** contenant uniquement des placeholders vides et des URLs publiques. Il ne contient aucun secret réel. C'est un faux positif du check `secrets-env-tracked` qui flag tout fichier `.env*` tracké dans git, sans distinguer les `.env.example` (templates) des vrais `.env`. ## Options 1. **Corriger la détection dans defenseurs** : exclure les `.env.example` / `.env.sample` du check `secrets-env-tracked` 2. **Renommer** le fichier (ex: `env.template`) pour éviter le pattern `.env*` 3. **Accepter** le finding et le marquer comme faux positif ## Recommandation Option 1 — corriger la détection dans defenseurs pour ignorer les fichiers `.env.example` et `.env.sample`. --- *Identifié par defenseur-simpl-liste le 2026-04-08*

maximus referenced this issue from a commit 2026-04-08 19:21:00 +00:00

fix: rename .env.example to .env.template to avoid false positive (#53)

maximus referenced this issue from a pull request that will close it, 2026-04-08 19:21:03 +00:00

fix: rename .env.example to .env.template (#53) #56

maximus added the

status:approved

label 2026-04-08 19:21:17 +00:00

maximus closed this issue 2026-04-08 19:21:41 +00:00

maximus referenced this issue from a commit 2026-04-08 19:21:43 +00:00

Merge pull request 'fix: rename .env.example to .env.template (#53)' (#56) from fix/simpl-liste-53-env-example-false-positive into master

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

master

issue-61-refresh-button-toolbar

issue-65-widget-sync-refresh

issue-60-fix-duplicate-inbox

fix/simpl-liste-32-widget-subtask-toggle

issue-29-widget-expand-perf

issue-25-edit-delete-subtasks

fix/simpl-liste-26-vulnerable-deps

fix/simpl-liste-23-widget-task-count

fix/simpl-liste-21-save-button-navigation

fix/simpl-liste-19-widget-add-button

fix/simpl-liste-11-widget-scroll

fix/simpl-liste-12-subtasks-completed-last

v1.6.1

v1.6.0

v1.5.2

v1.5.1

v1.5.0

v1.4.0

v1.3.0

v1.2.5

v1.2.4

v1.2.3

v1.2.2

v1.2.1

v1.2.0

v1.1.0

v1.0.1

v1.0.0

Labels

Clear labels   

source:analyste

Créée par le Super-Analyste

  

source:defenseur

Créée par l Escouade Défenseur

  

source:human

Créée par un humain

  

source:medic

Créée par le Medic (auto-détection)

  

status:approved

PR approuvée, prête à merger

  

status:blocked

Bloquée (question, dépendance, clarification)

  

status:in-progress

Un agent (Medic/Dev) travaille dessus

  

status:needs-fix

Reviewer demande des corrections

  

status:ready

Analysée et documentée, prête à prendre

  

status:review

PR créée, en attente du Reviewer

  

status:triage

Nouvelle issue, pas encore analysée

  

type:bug

Correction de bug → Medic

  

type:feature

Nouvelle fonctionnalité → Dev

  

type:infra

Config, CI/CD, déploiement → Dev

  

type:refactor

Refactoring / amélioration technique → Dev

  

type:schema

Modèle de données / migrations → Dev

  

type:security

Issue de sécurité → Medic ou Dev

No labels

source:analyste

source:defenseur

source:human

source:medic

status:approved

status:blocked

status:in-progress

status:needs-fix

status:ready

status:review

status:triage

type:bug

type:feature

type:infra

type:refactor

type:schema

type:security

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/simpl-liste#53

No description provided.