lokalise-security-basics

Skill do wdrażania najlepszych praktyk bezpieczeństwa w Lokalise. Pomaga zarządzać tokenami API z ograniczonymi uprawnieniami, audytować konfigurację bezpieczeństwa oraz obsługiwać sekrety w pipeline'ach CI/CD. Użyj go, gdy chcesz wdrożyć zasadę najmniejszych uprawnień, zabezpieczyć dane dostępowe lub zweryfikować webhooks. Obsługuje oddzielne tokeny dla pobierania, przesyłania i operacji administracyjnych.

1. Przygotuj tokeny API Lokalise — utwórz osobne tokeny dla każdego przypadku użycia: token tylko do odczytu dla pipeline'u pobierania w CI, token do odczytu-zapisu dla przesyłania, oraz token administracyjny dla operacji zarządzania. Każdy token powinien mieć tylko uprawnienia niezbędne do swojego zadania.

2. Skonfiguruj zmienne środowiskowe — przechowuj tokeny w systemie zarządzania sekretami (GitHub Secrets, AWS Secrets Manager, GCP Secret Manager lub Vault). Nigdy nie umieszczaj tokenów bezpośrednio w kodzie ani w repozytorium.

3. Wyzwól skill frazami związanymi z bezpieczeństwem — użyj poleceń takich jak "lokalise security", "lokalise secrets", "secure lokalise" lub "lokalise API token security", aby aktywować skill w kontekście Twojego projektu.

4. Wdrożyć weryfikację webhooków — jeśli używasz webhooków Lokalise, upewnij się, że weryfikujesz sekrety webhooków, aby potwierdzić autentyczność żądań przychodzących z platformy.

5. Przeprowadź audyt konfiguracji — regularnie sprawdzaj, które tokeny są używane w pipeline'ach CI/CD, jakie uprawnienia mają przypisane, oraz czy wszystkie sekrety są przechowywane bezpiecznie bez logowania w logach systemowych.