SkillProgramaçãoExecução
Gestão de Secrets
Implementa gestão segura de secrets para CI/CD e runtime: Vault, AWS Secrets Manager, OIDC e rotação. Use ao projetar ou auditar como os secrets fluem pelo pipeline e pela execução de um serviço.
Ações
PerfilDev
ProfundidadeAlta
IdiomaInglês (skill original)
Objetivo
Em uma frase.
Projetar ou auditar como os secrets fluem por CI/CD e runtime, cobrindo a escolha do armazenamento, rotação, acesso baseado em OIDC e detecção de vazamentos, eliminando chaves de longa duração e contas compartilhadas.
Aplicação
Quando
faz sentido.
Usar
- Projetar como os secrets fluem por CI/CD e runtime para um novo serviço
- Migrar de arquivos .env ou chaves de longa duração para um store gerenciado + OIDC
- Auditar o tratamento atual de secrets em busca de vazamentos, contas compartilhadas e lacunas de rotação
- Adicionar scanning de pre-commit / CI em um repositório que ainda não tem
Não usar
- Scanning puro de secrets no código-fonte (use scanning-secrets-and-supply-chain)
- Integração de tokens com terceiros (use token-integration-analyzer)
- Segurança de workflow de CI em geral (use secure-workflow-guide)
Prompt
Instruções
para a IA.
A skill parte de pré-requisitos claros: inventário dos secrets existentes e de onde eles vivem hoje, decisão do store (Vault, nativo de cloud ou Doppler), suporte a OIDC no provedor de CI e na cloud, e um time dono do store após o go-live.
### Escolha de store e padrões
Apresenta as opções de armazenamento (HashiCorp Vault, AWS Secrets Manager, GCP Secret Manager, Azure Key Vault, Doppler) e os padrões recomendados: preferir OIDC a chaves de longa duração (o workflow de CI troca um token OIDC por credenciais de curta duração), usar secrets dinâmicos emitidos por sessão e revogados ao final, rotação automática transparente para a aplicação, e mascaramento com auditoria a cada fetch.
### Anti-padrões e detecção
A skill lista anti-padrões — secrets em arquivos .env commitados, chaves longas em GH Actions quando OIDC funcionaria, contas de serviço compartilhadas — e o setup de detecção: detect-secrets e gitleaks no pre-commit, trufflehog no CI, e resposta imediata na cloud (rotacionar o secret exposto e auditar o uso downstream).
Os entregáveis incluem o diagrama da arquitetura de secrets, a política de rotação por classe de secret com cadência e ownership, a configuração de OIDC por provedor e o setup de scanning com plano de resposta documentado.
### Escolha de store e padrões
Apresenta as opções de armazenamento (HashiCorp Vault, AWS Secrets Manager, GCP Secret Manager, Azure Key Vault, Doppler) e os padrões recomendados: preferir OIDC a chaves de longa duração (o workflow de CI troca um token OIDC por credenciais de curta duração), usar secrets dinâmicos emitidos por sessão e revogados ao final, rotação automática transparente para a aplicação, e mascaramento com auditoria a cada fetch.
### Anti-padrões e detecção
A skill lista anti-padrões — secrets em arquivos .env commitados, chaves longas em GH Actions quando OIDC funcionaria, contas de serviço compartilhadas — e o setup de detecção: detect-secrets e gitleaks no pre-commit, trufflehog no CI, e resposta imediata na cloud (rotacionar o secret exposto e auditar o uso downstream).
Os entregáveis incluem o diagrama da arquitetura de secrets, a política de rotação por classe de secret com cadência e ownership, a configuração de OIDC por provedor e o setup de scanning com plano de resposta documentado.
Constelação
Onde
ela vive.
Bundles que incluem
Execução
Como usar
com IA.
- 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
- 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
- 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o
SKILL.mdem.claude/skills/(Claude Code) ou anexe o arquivo no Claude (claude.ai).