Vaultwarden Reality Check¶
Stand: 2026-05-30
Kurzfazit¶
Vaultwarden ist weiterhin die richtige Source of Truth, aber dieser Lauf konnte keine vollstaendige Live-Liste ziehen: Die CLI ist locked und ein Masterpasswort darf nicht in Tooltraces landen. Der produktive Reifegrad haengt deshalb an einem serverseitigen, auditierbaren Secret-Status-Check ohne Wertausgabe.
Beobachtung¶
| Check | Ergebnis |
|---|---|
bw status |
locked |
BW_SESSION lokal |
missing |
| Live Secret Values | nicht gelesen |
| Secret Exposure | keine Werte ausgegeben |
Gap Analysis¶
| Kategorie | Befund | Risiko | Empfehlung |
|---|---|---|---|
| Missing in Vaultwarden | Knowledge Ops Reindex/Validation Entries nicht live bestaetigt | Jobs bleiben manuell/fragil | Dedicated Entries anlegen und Fingerprints dokumentieren |
| Missing in Docs | Owner/Rotation fuer einige Integrationssecrets verteilt | Audit-Luecke | Owner + Rotation zentral in Security/Vaultwarden-Doku pflegen |
| Deprecated | Legacy Write-/Bootstrap-Tokens dokumentiert | Verwechslung mit produktivem Scope | DEPRECATED im Entry-Namen/Notizfeld |
| Unknown Owner | Teams/Jarvis/Voice Device noch Pilot | unklare Verantwortung | vor Pilot Owner festlegen |
Zielzustand¶
- Kein produktiver Job benoetigt eine lokale Entwickler-Session.
- Vaultwarden Unlock/Sync laeuft serverseitig kontrolliert oder Secrets werden als root-only Runtime-Env bereitgestellt.
- Reports zeigen nie Werte, sondern nur Status, Fingerprint, Owner, Scope und Ablaufdatum.
- Rotation und Emergency Revoke sind pro Secretklasse dokumentiert.
Naechster Schritt¶
lanstyle-secret-status als serverseitiges Read-only Tool bauen: Vaultwarden Entry vorhanden ja/nein, Runtime Env gesetzt ja/nein, Fingerprint/Expires, keine Werte.