Node.js 环境变量的脆弱性

我试图找到在我的项目中使用配置文件的最佳方式，即读取用户名、令牌、密码等

我首先使用了一个

config.json

，然后在另一个文件中解析它来访问参数。然后我使用了一个

config.js

。 但这让我想到了访问环境变量的方式

如何阻止我下载的某个节点包抓取我的

process.env

config.twitter.password =  process.env.TWITTER_PASSWORD

然后用它向某个外部数据库发出HTTP请求，从而泄漏我可能存储为环境变量的任何密码/令牌

---

我有一种感觉，我既天真又错过了一些重要的东西，所以我希望得到一些指导。谢谢。

我的意思是，他们也可以做一些事情，比如删除文件或安装/执行其他恶意代码，所以我认为环境变量是最不需要担心的。这只是您只应该在项目中包含您信任的代码的另一个原因。是什么阻止您包含的模块加载config.json？