Zum Inhalt

Vaultwarden Reality Check

Stand: 2026-05-30

Kurzfazit

Vaultwarden ist weiterhin die richtige Source of Truth, aber dieser Lauf konnte keine vollstaendige Live-Liste ziehen: Die CLI ist locked und ein Masterpasswort darf nicht in Tooltraces landen. Der produktive Reifegrad haengt deshalb an einem serverseitigen, auditierbaren Secret-Status-Check ohne Wertausgabe.

Beobachtung

Check Ergebnis
bw status locked
BW_SESSION lokal missing
Live Secret Values nicht gelesen
Secret Exposure keine Werte ausgegeben

Gap Analysis

Kategorie Befund Risiko Empfehlung
Missing in Vaultwarden Knowledge Ops Reindex/Validation Entries nicht live bestaetigt Jobs bleiben manuell/fragil Dedicated Entries anlegen und Fingerprints dokumentieren
Missing in Docs Owner/Rotation fuer einige Integrationssecrets verteilt Audit-Luecke Owner + Rotation zentral in Security/Vaultwarden-Doku pflegen
Deprecated Legacy Write-/Bootstrap-Tokens dokumentiert Verwechslung mit produktivem Scope DEPRECATED im Entry-Namen/Notizfeld
Unknown Owner Teams/Jarvis/Voice Device noch Pilot unklare Verantwortung vor Pilot Owner festlegen

Zielzustand

  • Kein produktiver Job benoetigt eine lokale Entwickler-Session.
  • Vaultwarden Unlock/Sync laeuft serverseitig kontrolliert oder Secrets werden als root-only Runtime-Env bereitgestellt.
  • Reports zeigen nie Werte, sondern nur Status, Fingerprint, Owner, Scope und Ablaufdatum.
  • Rotation und Emergency Revoke sind pro Secretklasse dokumentiert.

Naechster Schritt

lanstyle-secret-status als serverseitiges Read-only Tool bauen: Vaultwarden Entry vorhanden ja/nein, Runtime Env gesetzt ja/nein, Fingerprint/Expires, keine Werte.