skills/0x7466/bw-cli

bw-cli

🔐 企业级密码保险库自动化管家

基于 Bitwarden 官方 CLI 的密码管理技能,提供企业级保险库操作、安全共享与自动化密钥管理,零代码执行风险。

收藏
12.8k
安装
3.3k
版本
v1.1.1
CLS 安全性认证2026-05-06
点击查看完整报告 >

使用说明

核心用法

bw-cli 是一个纯文档参考型技能,完整覆盖 Bitwarden 密码管理器 CLI 的全功能操作。用户可通过该技能掌握:身份认证流程(login/unlock/logout)、保险库 CRUD 操作(项目/文件夹/附件/集合)、密码与口令生成、组织级权限管理,以及 Send 安全共享功能。技能采用"先解锁、必要时登录"的优化工作流,配合 BW_SESSION 环境变量实现无交互自动化操作。

典型使用场景包括:开发环境快速获取数据库密码、CI/CD 流水线注入密钥、团队共享敏感配置、批量密码轮换等。所有操作均通过标准 bw 命令完成,技能本身不执行任何代码,仅提供经过验证的命令模板与安全配置指南。

显著优点

权威性与完整性:基于 Bitwarden 官方文档构建,涵盖 546 行详尽参考,从基础安装到高级组织管理无一遗漏。支持自托管 Vaultwarden 与企业云端的混合部署场景。

安全设计导向:内置多层安全最佳实践——强制 .secrets 文件 600 权限、自动 .gitignore 保护、API 密钥替代密码登录、会话及时锁定机制。明确警示"永不记录 BW_SESSION 或 BW_PASSWORD"。

自动化友好:提供完整的非交互式工作流模板,支持 --passwordenv--raw--quiet 等标志位,便于 Shell 脚本与 DevOps 流水线集成。bw serve 模式更可暴露 REST API 供其他服务调用。

零执行风险:纯 Markdown 文档型技能,无嵌入代码、无动态下载、无网络请求,彻底消除供应链攻击面。

潜在缺点与局限性

依赖外部生态:必须预装 bw CLI 二进制与 jq 工具,Windows 环境需额外配置。自托管 Vaultwarden 存在已知 API 密钥登录兼容性问题,需回退到邮箱密码方案。

学习曲线陡峭:JSON 管道操作(bw encode//jq` 组合)对非技术用户不够友好,创建复杂项目(如带自定义字段的登录项)需掌握嵌套模板语法。

功能边界限制:作为文档型技能,无法直接执行命令验证结果,错误排查依赖用户手动运行。导出功能(bw export)虽文档化,但无额外二次确认机制提醒,误操作可能导致敏感数据泄露。

同步延迟风险bw sync 为手动触发,多设备场景下可能出现保险库状态不一致,需用户自行设计同步策略。

适合的目标群体

  • DevOps/SRE 工程师:需要在 CI/CD 中安全注入密钥、管理基础设施凭据
  • 开发团队:共享开发环境数据库密码、API 密钥,避免硬编码
  • 安全管理员:批量审计密码强度、执行企业级保险库治理
  • 技术型个人用户:追求命令行效率、需要自托管密码方案的高级用户

不适合无 CLI 经验的普通终端用户,或寻求图形界面管理工具的场景。

使用风险

配置风险.secrets 文件权限配置错误(非 600)或误提交至版本控制将导致主密码泄露。建议配合 git-secrets 等预提交钩子加固。

会话管理风险BW_SESSION 长期暴露于环境变量可能被进程转储获取。生产环境建议缩短会话有效期,使用 bw lock 主动清理。

导出与共享风险bw export 生成明文备份、、bw send 创建临时外链,均需人工评估数据敏感度。组织场景下需配合 DLP 策略防止数据外泄。

供应链风险bw CLI 本身虽开源可信,但 npm/包管理器安装渠道存在篡改可能,建议校验官方签名或从 bitwarden.com 直接下载。

安全解读

Bitwarden CLI 综合评估

核心用法

Bitwarden CLI(bw)是密码管理器 Bitwarden 的官方命令行工具,提供完整的密码库管理能力。核心工作流包括:认证(login/unlock)→ 同步(sync)→ 操作(list/get/create/edit/delete)→ 锁定(lock/logout)。支持多种认证方式:主密码、API Key、SSO,并可通过环境变量 BW_SESSION 保持会话状态。

主要功能覆盖:

  • 密码库管理:列表/搜索项目、文件夹、集合;支持登录项、安全笔记、信用卡、身份、SSH 密钥五种类型
  • 密码生成:支持随机密码(可定制长度、字符集)和易记短语(passphrase)
  • 安全共享(Send):创建阅后即焚的文本/文件分享链接
  • 组织管理:企业级功能,包括成员管理、设备审批、项目共享到组织
  • 导入导出:支持从 LastPass、1Password 等 20+ 格式迁移,以及加密 JSON 导出

显著优点

1. 功能完整性:覆盖 Bitwarden 全功能,包括网页版没有的高级操作(如批量编辑、自动化脚本)
2. 企业级安全:支持端到端加密、自托管服务器(Vaultwarden)、硬件密钥 2FA
3. 自动化友好:JSON 输入输出、Base64 编码接口、REST API 模式(bw serve),便于 CI/CD 集成
4. 跨平台:原生可执行文件 + npm/Snap/Chocolatey 多途径安装
5. 开源生态:与 Vaultwarden 兼容,支持私有化部署

潜在局限

1. 学习曲线:JSON/JQ 管道操作对非技术用户有一定门槛
2. 会话管理复杂BW_SESSION 环境变量传递容易泄露到日志,需要严格的 .secrets 文件管理
3. 自托管兼容性问题:部分 Vaultwarden 实例不支持 bw login --apikey,需回退到邮箱密码认证
4. 无图形界面:纯 CLI 体验,需要配合 jq 等工具处理输出

适合人群

  • 开发者和 DevOps 工程师(自动化密码注入到 CI/CD)
  • 系统管理员(批量管理企业密码策略)
  • 安全研究员(审计密码强度、检测泄露)
  • 高级用户(偏好终端效率、需要自托管方案)

常规风险

1. 凭证泄露风险BW_PASSWORDBW_SESSION 若未妥善保管(如硬编码脚本、提交到 git),可导致主密码暴露
2. 会话劫持BW_SESSION 有效期较长,共享环境或屏幕录制可能泄露会话密钥
3. 导出数据暴露bw export 生成明文文件,需确保导出路径安全
4. 剪贴板残留:部分使用场景可能将密码复制到剪贴板,存在被其他应用读取的风险

建议始终使用 .secrets 文件(权限 600)、添加 .gitignore、优先 bw unlock 而非长期保持登录状态。

securitydevopsautomationbackendproductivitydevelopment-engineering

bw-cli 内容

references文件夹
手动下载zip · 8.0 kB
commands.mdtext/markdown
请选择文件