secrets-management

por wshobson

A skill secrets-management ajuda equipes a proteger segredos de CI/CD com Vault, AWS Secrets Manager, Azure Key Vault, Google Secret Manager e opções nativas das plataformas. Use-a para planejar recuperação de segredos em tempo de execução, rotação e Access Control com privilégio mínimo nos pipelines.

Estrelas32.6k

Favoritos0

Comentários0

Adicionado30 de mar. de 2026

CategoriaAccess Control

Comando de instalação

npx skills add wshobson/agents --skill secrets-management

Pontuação editorial

Esta skill recebe 70/100, o que indica que pode ser listada e tende a ser útil para agentes que lidam com armazenamento e rotação de segredos em CI/CD. Ainda assim, quem consultar o diretório deve esperar um guia focado em documentação, e não uma skill mais operacional, com auxiliares instaláveis ou regras de decisão explícitas.

70/100

Pontos fortes

Boa acionabilidade: o frontmatter e a seção "When to Use" cobrem de forma explícita credenciais, certificados, rotação e casos de uso de CI/CD com privilégio mínimo.
Traz conteúdo de fluxo de trabalho real em várias plataformas, incluindo configuração do Vault e exemplos de integração com CI/CD, em vez de texto genérico.
Oferece cobertura comparativa de ferramentas como Vault, AWS Secrets Manager, Azure Key Vault e Google Secret Manager, o que ajuda agentes a mapear a skill para diferentes ambientes de nuvem.

Pontos de atenção

A orientação operacional parece ser majoritariamente baseada em exemplos e não traz arquivos de suporte, scripts ou regras reutilizáveis que reduzam a incerteza na execução.
Não há comando de instalação nem recursos complementares, então a adoção depende de os usuários interpretarem o markdown corretamente e completarem os detalhes específicos do ambiente.

Security Ci Cd Cicd Vault Aws Azure Gcp

Visão geral

Visão geral da skill de secrets-management

O que a skill de secrets-management faz

A skill secrets-management ajuda um agente a projetar e implementar um tratamento mais seguro de segredos em pipelines de CI/CD. O foco é substituir credenciais hardcoded por cofres de segredos gerenciados, como HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, Google Secret Manager ou recursos nativos de segredos da própria plataforma.

Para quem a skill de secrets-management é indicada

A skill de secrets-management é mais útil para equipes que criam ou revisam pipelines de entrega que lidam com chaves de API, senhas de banco de dados, certificados, credenciais de nuvem ou outras configurações sensíveis. Ela é especialmente valiosa para engenheiros de plataforma, times de DevOps, equipes de aplicação com foco em segurança e qualquer pessoa que esteja adicionando Access Control a fluxos de automação.

O problema real que ela resolve

A maioria das pessoas não quer apenas uma lista de ferramentas de segredo. O que elas precisam é de um caminho viável entre “nosso pipeline tem valores sensíveis” e “nossos jobs de CI/CD buscam o segredo certo em runtime, com menor privilégio, rotação e auditabilidade”. Essa skill é valiosa quando você quer direção de implementação, e não só princípios gerais de segurança.

O que diferencia esta skill de um prompt genérico

Um prompt genérico costuma parar em orientações amplas como “use um secret manager”. A skill secrets-management é mais acionável porque organiza o problema em torno de casos reais de uso em CI/CD: armazenamento de segredos, recuperação em runtime, rotação e opções específicas de cada provedor. Ela também traz padrões concretos para Vault e GitHub Actions, o que ajuda o agente a produzir rascunhos úteis mais rapidamente.

Quando ela encaixa bem — e quando não

Use secrets-management quando sua pergunta principal for como proteger pipelines de entrega e automação. Ela é menos adequada se você precisa de uma arquitetura de produção profundamente específica para um único produto, interpretação jurídica/compliance ou um modelo completo de governança corporativa de segredos. Nesses casos, use a skill como ponto de partida e complemente com a documentação do provedor e as restrições de política interna.

Como usar a skill de secrets-management

Contexto de instalação da secrets-management

A skill de origem não inclui seu próprio comando de instalação em SKILL.md, então quem usa o diretório normalmente a adiciona a partir do caminho da skill no repositório compatível com a ferramenta do agente. Se você usa uma CLI compatível com skills, instale a partir do repositório que contém plugins/cicd-automation/skills/secrets-management e depois confirme que a skill está disponível antes de montar o prompt. Se o seu ambiente não oferece suporte à instalação direta de skills, copie o conteúdo da skill para a camada de skill ou de instruções de sistema do seu agente.

Leia este arquivo primeiro

Comece por plugins/cicd-automation/skills/secrets-management/SKILL.md. Esta skill é autocontida, e os sinais do repositório indicam que não há README.md, resources/, rules/ ou scripts auxiliares extras para ela. Isso significa que quase toda a orientação útil está no arquivo principal da skill, então ler esse arquivo primeiro já dá praticamente todo o contexto operacional.

Quais informações a skill precisa de você

A skill de secrets-management funciona melhor quando você informa:

sua plataforma de CI/CD, como GitHub Actions
seu ambiente de nuvem ou de runtime
os tipos de segredo envolvidos
se você precisa de rotação
qual é o seu modelo atual de Access Control
se você já usa Vault ou um secret manager nativo da nuvem
restrições de implantação, como self-hosted runners ou ambientes regulados

Sem esse contexto, o agente tende a gerar uma comparação genérica em vez de um plano pronto para implementação.

Como transformar um objetivo vago em um prompt útil

Objetivo fraco:

“Help me manage secrets in CI.”

Prompt melhor:

“Use the secrets-management skill to propose a GitHub Actions design for deploying an app to AWS without long-lived cloud keys. Recommend whether to use AWS Secrets Manager, GitHub environment secrets, or Vault. Include secret retrieval flow, Access Control boundaries, rotation approach, and example workflow YAML.”

A versão mais forte deixa claro qual decisão o agente precisa tomar, quais sistemas estão no escopo e em que formato você quer a resposta.

Melhor estrutura de prompt para uso de secrets-management

Um prompt de alta qualidade para secrets-management usage normalmente inclui:

plataforma atual
secret store de destino
ameaça ou risco que você quer reduzir
ponto de recuperação em runtime
requisitos de Access Control
formato de saída desejado

Exemplo:

“Using the secrets-management skill, design a migration from repo-level secrets to Vault for GitHub Actions. We need least-privilege access per environment, auditability, and quarterly rotation. Show the architecture, sample Vault paths, policy approach, and a starter workflow.”

Fluxo prático a seguir

Um fluxo confiável é:

identificar os segredos e onde eles estão armazenados hoje
escolher o backend de segredos que melhor combina com sua plataforma e modelo operacional
definir os limites de Access Control por aplicação, ambiente e etapa do pipeline
projetar a recuperação em runtime em vez de hardcoding no build
adicionar expectativas de rotação e revogação
gerar um exemplo de configuração do pipeline
revisar permissões excessivas e proliferação de segredos

Essa sequência importa porque muita gente pula direto para o YAML antes de decidir quem é dono dos segredos e quais são os limites de acesso.

Orientação de escolha de ferramenta que a skill consegue apoiar

A skill cobre vários backends, mas a adoção geralmente depende do custo operacional:

HashiCorp Vault: melhor quando você precisa de controle centralizado, segredos dinâmicos e recursos fortes de auditoria/políticas de acesso
AWS Secrets Manager: melhor quando suas cargas já rodam majoritariamente na AWS
Azure Key Vault: boa opção para times centrados em Azure que precisam de integração com RBAC
Google Secret Manager: boa opção para ambientes nativos de GCP
segredos nativos de CI/CD: a alternativa mais simples, mas em geral menos flexível para rotação, credenciais dinâmicas e governança mais ampla

É aqui que a skill de secrets-management mais ajuda: reduzir a decisão com base na realidade do pipeline, e não na popularidade da ferramenta.

Exemplos de pedidos que costumam gerar respostas fortes

Peça entregas como:

plano de migração de variáveis de ambiente hardcoded para segredos gerenciados
workflow de GitHub Actions que recupera segredos em runtime
desenho de paths e policies no Vault para múltiplos ambientes
estratégia de rotação para senhas de banco de dados ou tokens de API
comparação entre secret stores nativos de nuvem para a sua stack atual

Esses pedidos se alinham melhor ao conteúdo do repositório do que solicitações amplas como “teach me all secret management.”

O que a skill consegue entregar bem

O secrets-management guide é mais forte em:

padrões de tratamento de segredos focados em CI/CD
seleção de provedor em nível prático
exemplos de configuração do Vault
padrões de recuperação em runtime dentro de pipelines
direção de arquitetura voltada a menor privilégio e auditoria

Ela tende a ser menos precisa em comandos prontos para produção de todos os provedores, a menos que você também informe exatamente qual é o seu ambiente.

Detalhes do repositório que valem saber antes de adotar

Esta skill é compacta e focada. Isso é bom para invocação rápida, mas também significa que há poucos guardrails embutidos, nenhum script auxiliar e pouca estrutura de implementação além dos exemplos. Use-a como acelerador de planejamento e de primeiros rascunhos, e depois valide sintaxe e detalhes de segurança específicos do provedor na documentação oficial.

FAQ da skill de secrets-management

A skill de secrets-management é boa para iniciantes?

Sim, desde que você já entenda o que é um pipeline de CI/CD e por que segredos não devem ficar no controle de versão. A skill oferece uma estrutura prática para começar. Iniciantes absolutos talvez ainda precisem de ajuda extra para entender IAM, métodos de autenticação do Vault ou conceitos de Access Control por ambiente.

Quando devo usar isso em vez de um prompt normal?

Use a secrets-management skill quando você quer manter o agente focado em tratamento de segredos em CI/CD, sem desviar para conselhos genéricos de segurança. Ela melhora a disciplina do prompt, especialmente em tarefas de instalação e desenho de arquitetura, como escolher entre Vault e um gerenciador nativo da nuvem.

A secrets-management instala alguma coisa para mim?

Não. A skill fornece orientação e exemplos; ela não é um instalador nem um pacote de automação de deploy. Em decisões de secrets-management install, trate-a como uma camada de planejamento que ajuda a escolher arquitetura, padrões de configuração e próximos passos de implementação.

Ela é mais voltada para Vault ou para todos os backends de segredo?

Ela cobre vários backends, mas Vault recebe o nível mais concreto de detalhe de implementação no conteúdo-fonte. Se o seu ambiente é mais centrado em AWS, Azure ou GCP, a skill ainda ajuda a estruturar a decisão, mas talvez você precise pedir exemplos específicos do provedor de forma explícita.

Isso é útil para trabalho de Access Control?

Sim. secrets-management for Access Control é um dos casos de uso mais fortes, porque a recuperação segura de segredos depende de limitar quem ou o que pode buscar cada segredo. Peça ao agente para mapear os segredos por ambiente, workload e papel, para que a resposta inclua limites de menor privilégio em vez de ficar só em conselhos sobre armazenamento.

Quando esta skill é a escolha errada?

Evite usar se sua necessidade for principalmente:

criptografia de segredos em nível de aplicação dentro do código
elaboração de política de compliance sem trabalho de implementação
hardening avançado de produção específico de um fornecedor sem foco em CI/CD
um runbook turnkey para implantação de uma plataforma de segredos

Nesses casos, prefira uma skill mais especializada ou a documentação oficial da plataforma.

Como melhorar a skill de secrets-management

Dê melhor contexto de sistema logo no início

A forma mais rápida de melhorar a qualidade da saída de secrets-management é informar o sistema ao redor:

plataforma de CI/CD
destino de deploy
consumidores dos segredos
ambientes
provedor de identidade atual
requisitos de Access Control
expectativas de rotação

Isso evita que o agente produza a resposta genérica de “use um secret manager”.

Peça arquitetura junto com configuração concreta

Não peça só recomendações. Peça também:

justificativa da decisão
estrutura de paths ou nomenclatura de segredos
limites de policy
fluxo de recuperação em runtime
exemplo de configuração do pipeline
etapas de migração

Essa combinação faz a skill de secrets-management sair de um papel apenas consultivo e gerar algo pronto para implementação.

Falha comum: inventário de segredos vago

Se você disser apenas “temos alguns segredos”, o resultado será fraco. Em vez disso, nomeie as classes de segredo:

credenciais de nuvem
senhas de banco de dados
certificados TLS
chaves de API de terceiros
chaves de assinatura

Tipos diferentes de segredo mudam a estratégia de rotação, o momento de recuperação e a escolha do backend.

Falha comum: modelo de identidade ausente

Muitas respostas ruins vêm do fato de não informar como o pipeline se autentica. Para melhorar secrets-management usage, especifique se os jobs usam OIDC, credenciais estáticas, workload identity, service principals ou métodos de autenticação do Vault. O desenho de recuperação de segredos é fortemente acoplado ao modelo de identidade.

Melhore os prompts com restrições que realmente importam

Restrições úteis incluem:

sem credenciais de longa duração
apenas self-hosted runners
separação entre múltiplos ambientes
requisitos de retenção de audit log
preferências quanto a lock-in de nuvem
necessidade de rotação automática
exigência de impedir acesso de desenvolvedores a segredos de produção

Essas restrições forçam respostas mais realistas e uma seleção de ferramenta melhor.

Peça explicitamente que o agente compare opções

Uma boa forma de melhorar a skill de secrets-management é pedir uma tabela comparativa já com o seu contexto. Exemplo:

“Compare Vault, AWS Secrets Manager, and GitHub environment secrets for our GitHub Actions pipeline, with columns for Access Control granularity, rotation, auditability, operational burden, and migration effort.”

Esse formato deixa os trade-offs visíveis e acelera a decisão de adoção.

Itere depois da primeira resposta

Depois do primeiro rascunho, peça ao agente para refinar o desenho:

remover acessos com privilégio excessivo
substituir credenciais estáticas por autenticação federada, se possível
separar paths de segredo entre dev/staging/prod
adicionar tratamento de rollback e rotação de segredos
identificar segredos que deveriam ser dinâmicos em vez de armazenados

Essa segunda passada muitas vezes agrega mais valor do que a primeira.

Valide os exemplos antes de colocar em produção

A skill pode acelerar o desenho, mas você ainda deve validar:

sintaxe de YAML
etapas de autenticação do provedor
sintaxe de policies do Vault
premissas sobre o ambiente dos runners
hooks de rotação de segredos
cobertura de audit log

Ela funciona melhor para reduzir tentativa e erro, não para pular revisão de segurança.

Um padrão de prompt final forte

Para obter a melhor saída, use um prompt como:

“Use the secrets-management skill to design secure secret handling for our GitHub Actions deployment pipeline. We deploy to AWS, want OIDC-based auth, need separate dev/staging/prod access, quarterly rotation for stored secrets, and no plaintext secrets in repo or workflow files. Recommend the backend, show the secret access model, and provide starter YAML plus a migration checklist.”

Esse prompt dá contexto suficiente para o agente produzir um guia de secrets-management realmente prático, em vez de um resumo genérico.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

azure-identity-py

por microsoft

azure-identity-py ajuda a configurar autenticação Azure em Python com o Microsoft Entra ID. Use-o para escolher entre `DefaultAzureCredential`, managed identity ou autenticação por service principal, configurar variáveis de ambiente e resolver problemas de controle de acesso e da cadeia de credenciais. As orientações de instalação, os padrões de uso e as notas práticas de configuração são baseados no arquivo de skill do repositório.

Access Control

Favoritos 0GitHub 2.2k

django-security

por affaan-m

django-security é um guia prático para fortalecer apps Django com autenticação, autorização, proteção contra CSRF e XSS, prevenção de SQL injection, cookies seguros e configurações de produção. Ele ajuda desenvolvedores e revisores a conduzir uma Security Audit focada, identificar rapidamente configurações arriscadas e aplicar correções concretas antes do deploy.

Security Audit

Favoritos 0GitHub 156.1k

detecting-anomalous-authentication-patterns

por mukul975

detecting-anomalous-authentication-patterns ajuda a analisar logs de autenticação em busca de impossible travel, brute force, password spraying, credential stuffing e atividade de contas comprometidas. Foi criado para workflows de Security Audit, SOC, IAM e resposta a incidentes, com detecção consciente de baseline e análise de sign-in baseada em evidências.

Security Audit

Favoritos 0GitHub 0

auditing-kubernetes-cluster-rbac

por mukul975

auditing-kubernetes-cluster-rbac ajuda a auditar RBAC do Kubernetes em busca de roles amplos demais, bindings arriscados, acesso a secrets e caminhos de escalada de privilégios. Foi feita para fluxos de auditoria de segurança em clusters EKS, GKE, AKS e ambientes autogerenciados, com orientação prática para `kubectl`, `rbac-tool`, `KubiScan` e `Kubeaudit`.

Security Audit

Favoritos 0GitHub 0

auditing-gcp-iam-permissions

por mukul975

auditing-gcp-iam-permissions ajuda a revisar o acesso IAM do Google Cloud em busca de vinculações arriscadas, roles primitivas, acesso público, exposição de contas de serviço e caminhos entre projetos. Esta skill de auditoria de controle de acesso foi criada para análises orientadas por evidências, usando gcloud, Cloud Asset, IAM Recommender e Policy Analyzer.

Access Control

Favoritos 0GitHub 0

auditing-aws-s3-bucket-permissions

por mukul975

A skill auditing-aws-s3-bucket-permissions ajuda você a auditar buckets do AWS S3 em busca de exposição pública, ACLs permissivas demais, políticas de bucket frágeis e criptografia ausente. Criada para fluxos de trabalho de Auditoria de Segurança, ela oferece suporte a uma revisão repetível de privilégio mínimo com orientação voltada a AWS CLI e boto3, além de notas práticas de instalação e uso.

Security Audit

Favoritos 0GitHub 0

configuring-microsegmentation-for-zero-trust

por mukul975

A skill configuring-microsegmentation-for-zero-trust ajuda a projetar e validar políticas de privilégio mínimo entre workloads em ambientes de zero trust. Use este guia para segmentar aplicações, reduzir o movimento lateral e transformar o tráfego observado em regras aplicáveis para auditoria de segurança e operações.

Security Audit

Favoritos 0GitHub 0

security-scan

por affaan-m

A skill security-scan audita sua configuração .claude/ do Claude Code em busca de segredos, configuração arriscada de MCP, instruções propensas a injeção, flags de bypass perigosas e definições fracas de agentes ou hooks, usando o AgentShield. Use-a para verificações de segurança repetíveis antes de fazer commit ou onboard.

Security Audit

Favoritos 0GitHub 156.3k

laravel-security

por affaan-m

A skill laravel-security é um checklist prático de segurança em Laravel para authn/authz, validação, CSRF, mass assignment, upload de arquivos, secrets, limitação de taxa e deploy seguro. Use-a em auditorias, revisões de funcionalidades e trabalhos de hardening em apps Laravel.

Security Audit

Favoritos 0GitHub 156.2k

git-guardrails-claude-code

por mattpocock

O git-guardrails-claude-code adiciona um hook PreToolUse para bloquear comandos git perigosos antes que o Claude Code os execute. Instale para impedir pushes destrutivos, hard resets, cleans forçados e exclusões de branches, com controle por escopo para este projeto ou para todos os projetos. Útil quando você precisa do git-guardrails-claude-code para limites de Controle de Acesso no Claude Code.

Access Control

Favoritos 0GitHub 66k

k8s-security-policies

por wshobson

k8s-security-policies ajuda equipes a elaborar NetworkPolicy do Kubernetes, rótulos de Pod Security Standards e padrões de RBAC com templates e referências versionados no repositório, apoiando hardening e um planejamento de rollout pronto para auditoria.

Security Audit

Favoritos 0GitHub 32.6k

auth-implementation-patterns

por wshobson

auth-implementation-patterns é uma skill prática para projetar e implementar padrões de autenticação e autorização, incluindo sessões, JWT, OAuth2/OIDC, RBAC e verificações de controle de acesso para APIs e aplicações.

Access Control

Favoritos 0GitHub 32.6k

security-and-hardening

por addyosmani

A skill security-and-hardening ajuda a endurecer o código da aplicação antes do release. Use-a para tratar entrada de usuário, autenticação, sessões, dados sensíveis, upload de arquivos, webhooks e serviços externos, com verificações concretas como validação de entrada, queries parametrizadas, codificação de saída, cookies seguros, HTTPS e gerenciamento de segredos.

Security Audit

Favoritos 0GitHub 18.7k

exploiting-kerberoasting-with-impacket

por mukul975

O exploitng-kerberoasting-with-impacket ajuda testadores autorizados a planejar Kerberoasting com o `GetUserSPNs.py` do Impacket, desde a enumeração de SPNs até a extração de tickets TGS, crack offline e relatórios com foco em detecção. Use este guia de exploiting-kerberoasting-with-impacket para fluxos de teste de intrusão com contexto claro de instalação e uso.

Penetration Testing

Favoritos 0GitHub 6.2k

exploiting-idor-vulnerabilities

por mukul975

exploiting-idor-vulnerabilities ajuda em auditorias de segurança autorizadas para testar falhas de Insecure Direct Object Reference (IDOR) em APIs, aplicações web e sistemas multi-tenant, com checagens entre sessões, mapeamento de objetos e verificação de leitura/gravação.

Security Audit

Favoritos 0GitHub 6.2k

detecting-azure-service-principal-abuse

por mukul975

detecting-azure-service-principal-abuse ajuda a detectar, investigar e documentar atividade suspeita de service principal no Microsoft Entra ID no Azure. Use-o para Auditoria de Segurança, resposta a incidentes em nuvem e threat hunting, revisando mudanças de credenciais, abuso de consentimento de administrador, atribuições de função, caminhos de propriedade e anomalias de login.

Security Audit

Favoritos 0GitHub 6.1k