bitwarden

核心用法

本 Skill 专注于 Bitwarden CLI (bw) 的完整工作流管理，涵盖从安装配置到日常使用的全流程。首先检查 CLI 存在性 (bw --version) 和登录状态 (bw status)，未登录时执行 bw login 进行身份验证。关键特性是强制使用 tmux 会话管理 BW_SESSION 环境变量，确保会话在多个命令间持久化且隔离。解锁保险库 (bw unlock) 获取会话密钥后，可执行同步 (bw sync)、搜索条目 (bw list items --search)、获取特定字段 (bw get password/username/totp) 及生成强密码 (bw generate) 等操作。

此外，Skill 提供完整的本地测试方案，基于 Vaultwarden (Bitwarden 兼容的自托管服务器) 和 Docker Compose 搭建隔离测试环境，包含 mkcert 证书配置和自动化脚本，确保在生产环境使用前充分验证。

显著优点

1. 安全架构严谨：强制 tmux 会话隔离设计，确保 BW_SESSION 不会泄露到全局环境，配合明确的 Guardrails 规范（禁止日志记录密码、及时锁定等），大幅降低凭证泄露风险。

2. 零代码执行风险：作为纯文档型资产，仅提供 Markdown 指南和配置示例，无自动执行脚本或动态代码加载，安全审计完全透明。

3. 完善的本地测试支持：内置 Vaultwarden 测试环境搭建指南，支持在本地完全隔离的环境中模拟生产场景，降低学习成本和试错风险。

4. 企业级功能覆盖：支持 TOTP 获取、密码生成、多字段提取等高级功能，满足 DevOps 自动化和开发团队的专业需求。

潜在缺点与局限性

1. 来源可信度限制：T3 级来源（个人开发者账号），虽经安全审查无恶意代码，但仍需用户自行验证内容准确性，不建议直接用于最高敏感级别的生产凭证管理。

2. 操作复杂度较高：强制 tmux 依赖增加了使用门槛，需要用户熟悉 tmux 会话管理，对不熟悉终端多路复用的用户不够友好。

3. 会话管理依赖人工：BW_SESSION 的生命周期需要用户手动维护，若忘记执行 bw lock 或错误配置 tmux 套接字，可能导致会话残留风险。

4. 无图形界面支持：纯 CLI 方案，不适合需要可视化密码管理的场景，且所有操作需命令行完成。

适合的目标群体

• DevOps 工程师与 SRE：需要在 CI/CD 流程或自动化脚本中安全获取密钥和 API 凭证
• 后端开发者：管理数据库密码、第三方服务密钥等应用配置
• 系统管理员：批量管理服务器登录凭证和共享账号
• 安全意识较强的技术团队：希望建立标准化的凭证管理流程，避免密码硬编码或明文传输

使用风险与注意事项

1. 凭证泄露风险：尽管 Skill 本身安全，但不当使用（如在日志中打印 bw get password 输出，或 tmux 会话未隔离）可能导致敏感信息暴露。

2. 会话残留风险：若 tmux 会话未正确清理或 BW_SESSION 环境变量被意外继承，可能导致未授权访问。

3. 网络与证书配置：使用自托管 Vaultwarden 时需正确配置 mkcert CA 证书，否则可能面临 TLS 验证失败或中间人攻击风险。

4. 权限边界：Skill 仅提供操作指南，实际执行权限取决于 bw CLI 本身的权限，建议遵循最小权限原则配置 Bitwarden 组织策略。