[improvement] 暗号化出力ファイル .env.enc がデフォルトパーミッションで作成される — 秘密情報がグループ/その他から読める

[ouchanip]

該当箇所

• src/utils.js:12-14 — writeFile 関数
• src/index.js:46 — encrypt() 内での呼び出し

// src/utils.js
export async function writeFile(filepath, content) {
  await fs.writeFile(filepath, content, 'utf8');
}

問題

Issue #2 で .env.key のパーミッション問題は指摘済みだが、.env.enc（暗号化されたシークレットを含むファイル）も同様にデフォルトパーミッション (0644) で作成される。シークレット管理ツールとして、グループ・その他ユーザーから読める状態は不適切。

修正案

• 簡易: writeFile にオプション引数で mode を渡せるようにし、init() と encrypt() で 0o600 を指定
• 本格: writeFile を拡張するか、init() / encrypt() で fs.writeFile 後に fs.chmod(filepath, 0o600) を呼ぶ。CLI オプション --no-restrict も検討

期待効果

• 暗号化ファイルが所有者のみ読取可能となり、シークレツールとしての安全性が向上
• Issue [security] Key file created with default permissions (no restrictive mode) #2 の修正と併せて、キーと暗号文の両方が保護される

[ouchanip]

【トリアージ結果】
優先度: 高
実現可能性: 容易
次の具体的なステップ:

1. writeFile を拡張して mode を受け取るようにし、encrypt() で出力ファイル（.env.enc）の作成に 0o600 を指定。
2. 書き込み後に fs.chmod(filepath, 0o600) を呼び出し、プラットフォーム差分に対応。
3. 既存 .env.enc のパーミッションチェックと警告を追加。
4. セキュリティ注記を README に追記し、テストを追加。

理由: 暗号化ファイル自体が読み取り可能だとセキュリティ保護の意味が薄れるため優先度高。