.env, config.php, database.sql и backup.zip не должны быть доступны по HTTP. Даже если файл кажется старым, в нем могут быть рабочие ключи.
Если такой файл найден публично, нужно сразу закрыть доступ, ротировать секреты, проверить логи и убедиться, что файл не попал в репозиторий.
ZeroTrace проверяет типовые чувствительные пути безопасно: HEAD и ограниченный GET, timeout, лимит размера ответа и маскирование secret-like значений.