secrets-management

祕密管理技能為軟體交付管道中的敏感資訊（如 API 金鑰、資料庫密碼和 TLS 憑證）提供了結構化的管理框架。本技能專為 DevOps 工程師、平台架構師與開發人員設計，旨在協助使用者從不安全的回寫式憑證（硬編碼）轉向集中化、動態的祕密管理架構。透過整合 HashiCorp Vault、AWS Secrets Manager、Azure Key Vault 與 Google Secret Manager 等工具，本技能確保祕密在加密、稽核與自動輪替過程中無須人工介入。它引導使用者在 GitHub Actions 與 GitLab CI 等 CI/CD 平台中實作自動化祕密擷取，並推廣基礎設施即程式碼（IaC）部署中的安全優先實務。

• 支援多雲與跨平台祕密儲存，包括 HashiCorp Vault、AWS Secrets Manager、Azure Key Vault 與 GCP Secret Manager。

• 提供祕密自動輪替模式與最佳實務，以降低憑證洩漏後的潛在影響範圍。

• 提供將動態祕密注入整合至 CI/CD 工作流程的設定指南，特別針對 GitHub Actions、GitLab CI 與 Terraform。

• 透過最小權限存取、稽核記錄以及利用 TruffleHog 與 GitGuardian 等工具進行自動化祕密掃描來強化安全性。

• 處理 Kubernetes 特定整合，包括使用 External Secrets Operator (ESO) 將雲端供應商祕密同步至叢集原生資源。

• 本技能專注於安全環境變數管理，強調使用遮罩輸出並避免在日誌中顯示純文字內容。

• 適用於安全管道開發；使用者應提供目標基礎設施（如 AWS、GCP、Azure）及當前的祕密生命週期需求。

• 預期輸出包含設定範本、環境設定腳本以及祕密注入的架構建議。

• 限制：實作推薦的安全控制措施時，需要擁有雲端 IAM 或 Vault 伺服器管理介面的權限。

• 使用者應隨時驗證祕密過期政策並監控稽核記錄，以維護持續的合規性與安全性完整性。