环境变量审计

格式：检查你的项目中有没有硬编码的秘密信息。

搜索以下模式：

- API 密钥（sk-、pk-、key-）
- 数据库密码
- JWT 秘钥
- OAuth 凭证
- 第三方服务令牌

正确做法：

// 错误：硬编码
const apiKey = "sk-proj-xxxxx"

// 正确：环境变量
const apiKey = process.env.OPENAI_API_KEY
if (!apiKey) throw new Error('API key not configured')

检查：

• .env 文件在 .gitignore 中吗？
• 有 .env.example 文件（只有变量名，没有值）吗？
• Git 历史中有没有不小心提交过的秘密？