api-credentials-hygiene
Audytuj i zabezpiecz obsługę kluczy API — rotacja, separacja środowisk, najmniejsze uprawnienia.
Instalacja
Wybierz klienta i sklonuj repozytorium do odpowiedniego katalogu skilli.
Instalacja
O skillu
Skill do audytu i wzmacniania bezpieczeństwa obsługi poświadczeń API. Pomaga przenieść sekrety do zmiennych środowiskowych, zaprojektować plan rotacji kluczy, wdrożyć zasadę najmniejszych uprawnień i utworzyć ścieżki audytu. Użyj go przed wdrożeniem produkcyjnym lub podczas integracji nowych serwisów, gdy bezpieczeństwo danych dostępu jest krytyczne.
Jak używać
Przygotuj listę integracji i API, które używasz, wraz z informacją, gdzie aktualnie przechowywane są poświadczenia (hardkodowane w kodzie, pliki konfiguracyjne, węzły n8n itp.) i w jakim kontekście są wdrażane (dev lokalny, serwer, kontener, n8n).
Zbierz opcjonalne materiały: zredagowane fragmenty plików konfiguracyjnych (.env, docker-compose, systemd, listy poświadczeń n8n) oraz wewnętrzne zasady organizacji dotyczące interwałów rotacji lub preferowanego menedżera sekretów.
Uruchom skill z przygotowanymi danymi. Skill przeprowadzi inwentaryzację poświadczeń, mapując każdy serwis na zmienne środowiskowe, zakresy uprawnień, właściciela i harmonogram rotacji.
Przejrzyj wygenerowaną mapę poświadczeń i checklist najmniejszych uprawnień — upewnij się, że każdy klucz ma tylko niezbędne uprawnienia do swojej funkcji.
Zastosuj runbook rotacji: postępuj zgodnie z udokumentowanymi krokami rotacji kluczy z planem wycofania, aby zminimalizować przestoje. Skonfiguruj zmienne środowiskowe i szablon .env (zawierający tylko placeholdery, bez sekretów).
Wdróż ścieżki audytu: upewnij się, że żadne sekrety nie są zacommitowane do repozytorium, a wszystkie dostępy do poświadczeń są logowane i śledzone zgodnie z wygenerowanym planem.