Почему это риск
Это критическая уязвимость без смягчающих обстоятельств. С содержимым .env злоумышленник получает: доступ к базе данных, возможность отправлять email от имени компании, полный контроль над API-интеграциями, возможность генерировать валидные JWT-токены. Компрометация происходит немедленно и незаметно.
Как исправить
Немедленно заблокируйте доступ к .env через nginx: location ~ /\.env { deny all; return 404; }
Смените ВСЕ секреты из .env: пароли БД, API-ключи, JWT-секреты, SMTP-пароли
Проверьте логи на предмет того, кто уже скачал файл: grep '/.env' /var/log/nginx/access.log
Убедитесь что .env не находится в webroot — поместите его на уровень выше
Используйте .gitignore для .env чтобы файл не попал в репозиторий
Проверьте наличие похожих файлов: .env.local, .env.production, .env.backup
Как AuditGuard обнаруживает проблему
AuditGuard делает HTTP-запрос к /.env, /.env.local, /.env.production и ряду других вариантов, проверяя HTTP-статус и анализируя содержимое ответа на признаки переменных окружения.