GitLab Stack密钥管理器 - 安全存储Docker密钥，防止泄露，集成GitLab项目

GitLab Stack Secrets Manager by rknall/claude-skills

34 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/rknall/claude-skills --skill 'GitLab Stack Secrets Manager'

自动化开发运维安全

🇨🇳中文介绍

GitLab Stack 密钥管理器

此技能管理 GitLab 栈项目的密钥，确保密钥安全存储，绝不暴露在配置文件中，并与 Docker 密钥正确集成。

何时使用此技能

当用户请求以下操作时激活此技能：

创建或管理 Docker 密钥
将环境变量迁移到 Docker 密钥
验证密钥配置和权限
审计密钥使用并检测泄露
确保密钥不在 .env 或 docker-compose.yml 中
检查密钥是否在 git 中暴露
生成安全的随机密钥
轮换现有密钥
修复与密钥相关的安全问题

核心安全原则

关键规则 - 绝不可违反：

密钥不在 .env 中 ：密钥绝不能在 .env 文件中
密钥不在 docker-compose.yml 中 ：环境变量中不能有明文密钥
./secrets 目录 ：所有密钥放在 ./secrets 中，权限为 700
密钥文件 ：单个文件，权限为 600
Git 保护 ：./secrets/* 在 .gitignore 中，永不提交
正确的所有权 ：所有文件由 Docker 用户（非 root）拥有
仅使用 Docker 密钥机制 ：专门使用 Docker 密钥机制

密钥管理工作流

阶段 1：理解用户意图

步骤 1：确定操作

自问用户想要做什么：

创建新密钥？
将现有环境变量迁移到密钥？
验证当前密钥配置？
审计密钥是否存在泄露或问题？
更新或轮换现有密钥？
删除密钥？

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

阶段 2：密钥创建

时机：用户想要创建新密钥

步骤 1：验证先决条件

检查 ./secrets 目录是否存在：
```
ls -ld ./secrets
```
如果缺失，以正确的权限创建：
```
mkdir -p ./secrets
chmod 700 ./secrets
```

步骤 2：确定密钥详情

询问用户（或从上下文推断）：

密钥名称（例如，db_password, api_key）
生成方式：
- 用户提供值
- 生成随机值
- 根据模式生成
格式要求（字母数字、十六进制、base64 等）
长度要求

步骤 3：创建密钥文件

生成或接受密钥值

在 ./secrets 中创建文件：

echo -n "secret-value" > ./secrets/secret_name

设置正确的权限：
```
chmod 600 ./secrets/secret_name
```
验证所有权（不应是 root）

步骤 4：更新 docker-compose.yml

添加到顶层的 secrets 部分：

secrets:
  secret_name:
    file: ./secrets/secret_name

添加到相应的服务：

services:
  myservice:
    secrets:
      - secret_name

步骤 5：验证 .gitignore

确保 ./secrets 被排除：

/secrets/
/secrets/*
!secrets/.gitkeep

阶段 3：密钥验证

时机：用户想要验证密钥配置，或作为其他操作的一部分

步骤 1：目录结构验证

检查 ./secrets 是否存在：

[ -d ./secrets ] && echo "exists" || echo "missing"

检查权限（应为 700）：

stat -c "%a" ./secrets  # Linux
stat -f "%OLp" ./secrets  # macOS

检查所有权（非 root）：
```
ls -ld ./secrets
```

步骤 2：密钥文件验证

列出所有密钥文件：

find ./secrets -type f ! -name .gitkeep

对于每个文件，检查：
- 权限（应为 600）
- 所有权（非 root）
- 非空
- 可读

步骤 3：docker-compose.yml 验证

解析 secrets 部分：
- 列出所有已定义的密钥
- 验证每个密钥的文件是否存在
检查服务密钥引用：
- 所有引用的密钥都已定义
- 服务使用 secrets: 键，而非环境变量
关键：扫描环境变量中的密钥：
- 查找模式：PASSWORD, SECRET, KEY, TOKEN, API
- 标记任何看起来像密钥的变量
- 这些必须迁移

步骤 4：.env 文件验证

关键：扫描 .env 中的密钥：
- 模式匹配：PASSWORD , SECRET , KEY , TOKEN , API
- 长的、看起来随机的字符串
- Base64 编码的值
- 任何应该是密钥的值
如果在 .env 中发现密钥：
- 这是一个关键的安全问题
- 列出所有检测到的密钥
- 建议立即迁移

步骤 5：Git 安全检查

验证 .gitignore 排除了 ./secrets：
```
grep -q "secrets" .gitignore
```
检查是否有任何密钥已暂存：
```
git status --porcelain | grep secrets/
```
检查 git 历史记录中的密钥（如果请求）：
```
git log --all --full-history -- ./secrets/
```

步骤 6：生成验证报告

🔐 密钥验证报告
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

📁 目录结构
✅ ./secrets 存在，权限为 700
✅ 由用户拥有 (1000:1000)
✅ ./secrets 在 .gitignore 中

📄 密钥文件 (3)
✅ db_password - 权限 600，32 字节
✅ api_key - 权限 600，64 字节
⚠️  jwt_secret - 权限 644 (应为 600)

🐳 Docker 集成
✅ docker-compose.yml 中定义了 3 个密钥
✅ 所有密钥文件都存在
⚠️  服务 'worker' 使用 docker-entrypoint.sh

❌ 关键安全问题
❌ .env 包含密钥：
   * DB_PASSWORD=supersecret123
   * API_KEY=sk_live_abc123
   ** 需要立即采取行动 **

❌ docker-compose.yml 环境变量包含密钥：
   * 服务 'app' - 环境变量中的 JWT_SECRET
   ** 必须迁移到 Docker 密钥 **

✅ Git 安全性
✅ git 暂存区中没有密钥
✅ .gitignore 配置正确

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
状态：失败 (2 个关键问题)

🔧 需要立即采取的行动
1. 将密钥从 .env 迁移到 Docker 密钥
2. 从 docker-compose.yml 环境中移除密钥
3. 修复 jwt_secret 文件的权限

阶段 4：密钥迁移

时机：在 .env 或 docker-compose.yml 环境变量中发现密钥

关键：这是一个必须修复的安全问题

步骤 1：识别要迁移的密钥

扫描 .env 中的密钥模式：

grep -E "(PASSWORD|SECRET|KEY|TOKEN|API)" .env

扫描 docker-compose.yml 的环境部分：
```
# 在环境变量中查找模式
```
列出所有检测到的密钥，包含：
- 变量名
- 当前位置（.env 或 compose）
- 当前值（用于迁移）
- 建议的密钥名称

步骤 2：与用户确认

展示发现并询问：

哪些变量应该迁移？
确认密钥名称
确认从 .env/compose 中移除是安全的

步骤 3：创建密钥文件

对于每个要迁移的密钥：

提取当前值

创建密钥文件：

echo -n "$value" > ./secrets/secret_name
chmod 600 ./secrets/secret_name

添加到 docker-compose.yml 的 secrets 部分

步骤 4：更新服务配置

对于每个使用该密钥的服务：

添加到服务密钥列表
从环境变量中移除

如果容器支持 _FILE 后缀：

environment:
  DB_PASSWORD_FILE: /run/secrets/db_password

如果容器不支持原生密钥：
- 创建或更新 docker-entrypoint.sh
- 记录此要求

步骤 5：清理

从 .env 中移除密钥：
- 要么删除这些行
- 要么用迁移说明注释掉它们
从 docker-compose.yml 环境中移除
验证 .env.example 没有密钥值

步骤 6：验证

测试服务是否正确启动
验证服务可以访问密钥
确认 .env 或 compose 中没有剩余密钥
运行验证以确认

阶段 5：密钥生成

时机：需要生成安全的随机密钥时

步骤 1：确定格式要求

字母数字 ：字母和数字（默认）
十六进制 ：十六进制（0-9, a-f）
Base64 ：Base64 编码
数字：仅数字
UUID ：UUID v4 格式

步骤 2：确定长度

数据库密码：32-64 个字符
API 密钥：32-64 个字符
JWT 密钥：64 个字符（或 32 字节 base64）
会话密钥：32 个字符
加密密钥：32 字节（256 位）

步骤 3：生成密钥

使用加密安全的方法：

# 字母数字 (32 个字符)
openssl rand -base64 32 | tr -d '/+=' | head -c 32

# 十六进制 (64 个字符)
openssl rand -hex 32

# Base64 (32 字节)
openssl rand -base64 32

# UUID
uuidgen

# 自定义 (例如，16 个字母数字)
LC_ALL=C tr -dc 'A-Za-z0-9' < /dev/urandom | head -c 16

步骤 4：安全存储

写入文件（无尾随换行符）：

echo -n "$secret" > ./secrets/secret_name

设置权限：
```
chmod 600 ./secrets/secret_name
```

阶段 6：密钥审计

时机：用户想要审计密钥使用、查找泄露或审查安全性时

步骤 1：密钥清单

列出所有密钥及其详情：

名称
文件路径
文件大小
权限
所有者
创建日期（如果可用）
最后修改时间

步骤 2：使用分析

对于每个密钥：

检查是否在 docker-compose.yml 中定义
列出使用它的服务
检查文件是否存在
验证它是否实际被使用

步骤 3：查找未使用的密钥

已定义但未在任何服务中使用的密钥
不在 docker-compose.yml 中的密钥文件
建议移除或记录

步骤 4：泄露检测

检查常见的泄露位置：

.env 文件（关键）：

grep -E "(PASSWORD|SECRET|KEY|TOKEN)" .env

docker-compose.yml 环境（关键）：
- 扫描所有环境部分
- 标记任何密钥

配置文件 ：

grep -r "password\|secret\|key" ./config/

Git 历史记录 ：
```
git log -p --all -S "secret-pattern"
```
Docker 日志 ：
- 检查最近的日志以查找密钥暴露

步骤 5：权限审计

检查 ./secrets 中的所有文件：
```
find ./secrets -type f -not -perm 600
```

检查目录权限：

[ "$(stat -c '%a' ./secrets)" = "700" ]

检查所有权：
```
find ./secrets -user root
```

步骤 6：生成审计报告

密钥总数
使用统计
发现的安全问题
建议
风险评估

阶段 7：docker-entrypoint.sh 生成

时机：容器不支持原生 Docker 密钥时

步骤 1：确定必要性

检查容器是否支持密钥：

PostgreSQL, MySQL, MariaDB：支持 _FILE 后缀 ✅
Redis：原生密钥支持 ✅
MongoDB：原生密钥支持 ✅
大多数现代容器：检查文档

仅在以下情况下创建入口点脚本：

容器仅期望环境变量
不支持 _FILE 后缀
不支持原生读取 /run/secrets/

步骤 2：识别所需密钥

列出需要加载的密钥：

密钥名称（在 ./secrets/ 中）
环境变量名称
服务名称

步骤 3：生成入口点脚本

#!/bin/bash
set -e

# 将 docker 密钥加载到环境中的函数
load_secret() {
  local secret_name=$1
  local env_var=$2
  local secret_file="/run/secrets/${secret_name}"

  if [ -f "$secret_file" ]; then
    export "${env_var}=$(cat "$secret_file")"
    echo "Loaded secret: $secret_name -> $env_var"
  else
    echo "ERROR: Secret file $secret_file not found!" >&2
    exit 1
  fi
}

# 加载所有必需的密钥
load_secret "db_password" "DB_PASSWORD"
load_secret "api_key" "API_KEY"
load_secret "jwt_secret" "JWT_SECRET"

# 执行主命令
exec "$@"

步骤 4：设置权限

chmod +x docker-entrypoint.sh

步骤 5：更新 docker-compose.yml

services:
  myservice:
    entrypoint: /docker-entrypoint.sh
    command: ["original-command"]
    volumes:
      - ./docker-entrypoint.sh:/docker-entrypoint.sh:ro
    secrets:
      - db_password
      - api_key

步骤 6：记录

添加注释说明为什么需要入口点脚本：

# 需要 docker-entrypoint.sh，因为此容器
# 不支持原生 Docker 密钥

以安全为中心 ：在每一步都强调安全性
明确说明风险 ：解释为什么密钥在 .env/compose 中是危险的
对关键问题保持紧迫感 ：不要淡化安全问题
乐于助人 ：提供修复问题的确切命令
彻底：检查所有潜在的泄露位置
具有教育意义 ：解释为什么 Docker 密钥更好
绝不显示密钥值 ：显示 "[已编辑]" 代替

这些是必须通过的安全标准：

✅ .env 文件中没有密钥
✅ docker-compose.yml 环境变量中没有密钥
✅ ./secrets 目录存在，权限为 700
✅ 所有密钥文件权限为 600
✅ ./secrets/* 在 .gitignore 中
✅ git 中没有跟踪密钥
✅ 没有 root 拥有的密钥文件
✅ 所有引用的密钥都存在
✅ docker-entrypoint.sh 仅在真正需要时使用

与配套技能的集成

Stack-validator 调用此技能进行密钥验证
验证密钥是否遵循正确的模式
检测 .env 和 compose 文件中的密钥

创建 ./secrets 目录并正确设置
生成 .gitkeep 文件
正确设置 .gitignore
创建初始密钥占位符

确保配置不包含密钥
正确引用密钥
仅对非密钥使用环境变量

密钥只读 ：绝不向用户显示实际的密钥值
安全第一 ：始终优先考虑安全性而非便利性
需要迁移 ：.env/compose 中的密钥必须迁移
没有捷径 ：始终遵循安全最佳实践
验证一切 ：检查权限、所有权、git 状态
配套技能感知 ：与其他技能无缝协作

示例工作流：完整的密钥设置

User: "为我的数据库设置密钥"

1. 检查当前状态
   - ./secrets 缺失 → 创建它
   - docker-compose.yml 的 DB_PASSWORD 在环境变量中 → 关键问题

2. 报告发现：
   "我发现一个关键安全问题：DB_PASSWORD 在 docker-compose.yml
    环境变量中。我将把它迁移到 Docker 密钥。"

3. 迁移：
   - 提取密码值
   - 创建 ./secrets/db_password
   - chmod 600 ./secrets/db_password
   - 更新 docker-compose.yml 的 secrets 部分
   - 更新 postgres 服务以使用密钥
   - 从环境中移除

4. 验证：
   - 运行验证
   - 确认 compose 中没有密钥
   - 检查 .gitignore
   - 验证权限

5. 报告：
   "✅ 数据库密码现在使用 Docker 密钥保护
    ✅ 已从 docker-compose.yml 环境中移除
    ✅ 文件权限设置正确
    ✅ 已添加到 .gitignore"

此技能确保密钥得到安全管理，绝不暴露在配置文件或版本控制中。

🇺🇸English

GitLab Stack Secrets Manager

This skill manages secrets for GitLab stack projects, ensuring secrets are stored securely, never exposed in configuration files, and properly integrated with Docker secrets.

When to Use This Skill

Activate this skill when the user requests:

Create or manage Docker secrets
Migrate environment variables to Docker secrets
Validate secret configuration and permissions
Audit secret usage and detect leaks
Ensure secrets aren't in .env or docker-compose.yml
Check if secrets are exposed in git
Generate secure random secrets
Rotate existing secrets
Fix secret-related security issues

Core Security Principles

CRITICAL RULES - Never violated:

No Secrets in .env : Secrets MUST NEVER be in .env file
No Secrets in docker-compose.yml : No plaintext secrets in environment variables
./secrets Directory : All secrets in ./secrets with 700 permissions
Secret Files : Individual files with 600 permissions
Git Protection : ./secrets/* in .gitignore, never committed
Proper Ownership : All files owned by Docker user (not root)
Docker Secrets Only : Use Docker secrets mechanism exclusively

Secret Management Workflow

Phase 1: Understanding User Intent

Step 1: Determine the Operation

Ask yourself what the user wants to do:

Create new secrets?
Migrate existing environment variables to secrets?
Validate current secret configuration?
Audit secrets for leaks or issues?
Update or rotate existing secrets?
Remove secrets?

Step 2: Gather Context

Check current project state:
- Does ./secrets directory exist?
- Does docker-compose.yml exist?
- Does .env file exist?
- Is this part of stack-validator findings?
Review docker-compose.yml:
- Any secrets already defined?
- Any environment variables that look like secrets?
- Which services need secrets?
Scan for security issues:
- Secrets in .env?
- Secrets in docker-compose.yml environment variables?
- Secrets tracked in git?

Phase 2: Secret Creation

When : User wants to create new secrets

Step 1: Validate Prerequisites

Check if ./secrets directory exists:
```
ls -ld ./secrets
```
If missing, create with proper permissions:
```
mkdir -p ./secrets
chmod 700 ./secrets
```

Step 2: Determine Secret Details

Ask the user (or infer from context):

Secret name (e.g., db_password, api_key)
How to generate:
- User provides value
- Generate random value
- Generate from pattern
Format requirements (alphanumeric, hex, base64, etc.)
Length requirements

Step 3: Create Secret File

Generate or accept secret value

Create file in ./secrets:

echo -n "secret-value" > ./secrets/secret_name

Set proper permissions:
```
chmod 600 ./secrets/secret_name
```
Verify ownership (should not be root)

Step 4: Update docker-compose.yml

Add to top-level secrets section:

secrets:
  secret_name:
    file: ./secrets/secret_name

Add to appropriate service:

services:
  myservice:
    secrets:
      - secret_name

Step 5: Verify .gitignore

Ensure ./secrets is excluded:

/secrets/
/secrets/*
!secrets/.gitkeep

Phase 3: Secret Validation

When : User wants to validate secret configuration, or as part of other operations

Step 1: Directory Structure Validation

Check ./secrets exists:

[ -d ./secrets ] && echo "exists" || echo "missing"

Check permissions (should be 700):

stat -c "%a" ./secrets  # Linux
stat -f "%OLp" ./secrets  # macOS

Check ownership (not root):
```
ls -ld ./secrets
```

Step 2: Secret Files Validation

List all secret files:

find ./secrets -type f ! -name .gitkeep

For each file, check:
- Permissions (should be 600)
- Ownership (not root)
- Not empty
- Readable

Step 3: docker-compose.yml Validation

Parse secrets section:
- List all defined secrets
- Verify files exist for each secret
Check service secret references:
- All referenced secrets are defined
- Services use secrets: key, not environment vars
CRITICAL : Scan for secrets in environment variables:
- Look for patterns: PASSWORD, SECRET, KEY, TOKEN, API
- Flag any that look like secrets
- These MUST be migrated

Step 4: .env File Validation

CRITICAL : Scan .env for secrets:
- Pattern matching: PASSWORD , SECRET , KEY , TOKEN , API
- Long random-looking strings
- Base64-encoded values
- Any value that should be a secret
If secrets found in .env:
- This is a CRITICAL security issue
- List all detected secrets
- Recommend immediate migration

Step 5: Git Safety Check

Verify .gitignore excludes ./secrets:
```
grep -q "secrets" .gitignore
```
Check if any secrets are staged:
```
git status --porcelain | grep secrets/
```
Check git history for secrets (if requested):
```
git log --all --full-history -- ./secrets/
```

Step 6: Generate Validation Report

🔐 Secrets Validation Report
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

📁 Directory Structure
✅ ./secrets exists with 700 permissions
✅ Owned by user (1000:1000)
✅ ./secrets in .gitignore

📄 Secret Files (3)
✅ db_password - 600 permissions, 32 bytes
✅ api_key - 600 permissions, 64 bytes
⚠️  jwt_secret - 644 permissions (should be 600)

🐳 Docker Integration
✅ 3 secrets defined in docker-compose.yml
✅ All secret files exist
⚠️  Service 'worker' uses docker-entrypoint.sh

❌ CRITICAL SECURITY ISSUES
❌ .env contains secrets:
   * DB_PASSWORD=supersecret123
   * API_KEY=sk_live_abc123
   ** IMMEDIATE ACTION REQUIRED **

❌ docker-compose.yml environment variables contain secrets:
   * Service 'app' - JWT_SECRET in environment
   ** MUST MIGRATE TO DOCKER SECRETS **

✅ Git Safety
✅ No secrets in git staging
✅ .gitignore properly configured

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Status: FAILED (2 critical issues)

🔧 IMMEDIATE ACTIONS REQUIRED
1. Migrate secrets from .env to Docker secrets
2. Remove secrets from docker-compose.yml environment
3. Fix permissions on jwt_secret file

Phase 4: Secret Migration

When : Secrets found in .env or docker-compose.yml environment variables

CRITICAL : This is a security issue that must be fixed

Step 1: Identify Secrets to Migrate

Scan .env for secret patterns:

grep -E "(PASSWORD|SECRET|KEY|TOKEN|API)" .env

Scan docker-compose.yml environment sections:

# Look for patterns in environment variables

List all detected secrets with:
- Variable name
- Current location (.env or compose)
- Current value (for migration)
- Suggested secret name

Step 2: Confirm with User

Present findings and ask:

Which variables should be migrated?
Confirm secret names
Confirm it's safe to remove from .env/compose

Step 3: Create Secret Files

For each secret to migrate:

Extract current value

Create secret file:

echo -n "$value" > ./secrets/secret_name
chmod 600 ./secrets/secret_name

Add to docker-compose.yml secrets section

Step 4: Update Service Configurations

For each service using the secret:

Add to service secrets list
Remove from environment variables

If container supports _FILE suffix:

environment:
  DB_PASSWORD_FILE: /run/secrets/db_password

If container doesn't support native secrets:
- Create or update docker-entrypoint.sh
- Document this requirement

Step 5: Clean Up

Remove secrets from .env:
- Either delete the lines
- Or comment them out with migration note
Remove from docker-compose.yml environment
Verify .env.example doesn't have secret values

Step 6: Verification

Test that services start correctly
Verify services can access secrets
Confirm no secrets remain in .env or compose
Run validation to confirm

Phase 5: Secret Generation

When : Need to generate secure random secrets

Step 1: Determine Format Requirements

Common formats:

Alphanumeric : Letters and numbers (default)
Hex : Hexadecimal (0-9, a-f)
Base64 : Base64 encoding
Numeric : Numbers only
UUID : UUID v4 format

Step 2: Determine Length

Standard lengths:

Database passwords: 32-64 characters
API keys: 32-64 characters
JWT secrets: 64 characters (or 32 bytes base64)
Session secrets: 32 characters
Encryption keys: 32 bytes (256-bit)

Step 3: Generate Secret

Use cryptographically secure methods:

# Alphanumeric (32 chars)
openssl rand -base64 32 | tr -d '/+=' | head -c 32

# Hex (64 chars)
openssl rand -hex 32

# Base64 (32 bytes)
openssl rand -base64 32

# UUID
uuidgen

# Custom (e.g., 16 alphanumeric)
LC_ALL=C tr -dc 'A-Za-z0-9' < /dev/urandom | head -c 16

Step 4: Store Securely

Write to file (no trailing newline):

echo -n "$secret" > ./secrets/secret_name

Set permissions:
```
chmod 600 ./secrets/secret_name
```

Phase 6: Secret Auditing

When : User wants to audit secret usage, find leaks, or review security

Step 1: Secret Inventory

List all secrets with details:

Name
File path
File size
Permissions
Owner
Created date (if available)
Last modified

Step 2: Usage Analysis

For each secret:

Check if defined in docker-compose.yml
List services using it
Check if file exists
Verify it's actually used

Step 3: Find Unused Secrets

Secrets defined but not used in any service
Secret files that aren't in docker-compose.yml
Suggest removal or documentation

Step 4: Leak Detection

Check common leak locations:

.env file (CRITICAL):

grep -E "(PASSWORD|SECRET|KEY|TOKEN)" .env

docker-compose.yml environment (CRITICAL):
- Scan all environment sections
- Flag any secrets

Configuration files :

grep -r "password\|secret\|key" ./config/

Git history :
```
git log -p --all -S "secret-pattern"
```
Docker logs :
- Check recent logs for secret exposure

Step 5: Permission Audit

Check all files in ./secrets:
```
find ./secrets -type f -not -perm 600
```

Check directory permissions:

[ "$(stat -c '%a' ./secrets)" = "700" ]

Check ownership:
```
find ./secrets -user root
```

Step 6: Generate Audit Report

Include:

Total secrets count
Usage statistics
Security issues found
Recommendations
Risk assessment

Phase 7: docker-entrypoint.sh Generation

When : Container doesn't support native Docker secrets

Step 1: Determine Necessity

Check if container supports secrets:

PostgreSQL, MySQL, MariaDB: Support _FILE suffix ✅
Redis: Native secret support ✅
MongoDB: Native secret support ✅
Most modern containers: Check documentation

Only create entrypoint if:

Container expects environment variables only
No _FILE suffix support
No native /run/secrets/ reading

Step 2: Identify Required Secrets

List secrets that need to be loaded:

Secret name (in ./secrets/)
Environment variable name
Service name

Step 3: Generate Entrypoint Script

#!/bin/bash
set -e

# Function to load secrets from docker secrets into environment
load_secret() {
  local secret_name=$1
  local env_var=$2
  local secret_file="/run/secrets/${secret_name}"

  if [ -f "$secret_file" ]; then
    export "${env_var}=$(cat "$secret_file")"
    echo "Loaded secret: $secret_name -> $env_var"
  else
    echo "ERROR: Secret file $secret_file not found!" >&2
    exit 1
  fi
}

# Load all required secrets
load_secret "db_password" "DB_PASSWORD"
load_secret "api_key" "API_KEY"
load_secret "jwt_secret" "JWT_SECRET"

# Execute the main command
exec "$@"

Step 4: Set Permissions

chmod +x docker-entrypoint.sh

Step 5: Update docker-compose.yml

services:
  myservice:
    entrypoint: /docker-entrypoint.sh
    command: ["original-command"]
    volumes:
      - ./docker-entrypoint.sh:/docker-entrypoint.sh:ro
    secrets:
      - db_password
      - api_key

Step 6: Document

Add comment explaining why entrypoint is needed:

# docker-entrypoint.sh required because this container
# doesn't support Docker secrets natively

Communication Style

When managing secrets:

Be Security-Focused : Emphasize security at every step
Be Clear About Risks : Explain why secrets in .env/compose is dangerous
Be Urgent About Critical Issues : Don't downplay security problems
Be Helpful : Provide exact commands to fix issues
Be Thorough : Check all potential leak locations
Be Educational : Explain why Docker secrets are better
Never Display Secret Values : Show "[REDACTED]" instead

Critical Validation Points

These are must-pass security criteria:

✅ NO secrets in .env file
✅ NO secrets in docker-compose.yml environment variables
✅ ./secrets directory exists with 700 permissions
✅ All secret files have 600 permissions
✅ ./secrets/* in .gitignore
✅ No secrets tracked in git
✅ No root-owned secret files
✅ All referenced secrets exist
✅ docker-entrypoint.sh only when truly necessary

Integration with Companion Skills

stack-validator

Stack-validator calls this skill for secret validation
Validates that secrets follow proper patterns
Detects secrets in .env and compose files

stack-creator

Creates ./secrets directory with proper setup
Generates .gitkeep file
Sets up .gitignore correctly
Creates initial secret placeholders

config-generator

Ensures configs don't contain secrets
References secrets properly
Uses environment variables for non-secrets only

Important Notes

Read-Only for Secrets : NEVER display actual secret values to user
Security First : Always prioritize security over convenience
Migration Required : Secrets in .env/compose MUST be migrated
No Shortcuts : Always follow security best practices
Verify Everything : Check permissions, ownership, git status
Companion-Aware : Work with other skills seamlessly

Example Workflow: Complete Secret Setup

User: "Set up secrets for my database"

1. Check current state
   - ./secrets missing → create it
   - docker-compose.yml has DB_PASSWORD in environment → CRITICAL ISSUE

2. Report findings:
   "I found a critical security issue: DB_PASSWORD is in docker-compose.yml
    environment variables. I'll migrate this to Docker secrets."

3. Migration:
   - Extract password value
   - Create ./secrets/db_password
   - chmod 600 ./secrets/db_password
   - Update docker-compose.yml secrets section
   - Update postgres service to use secrets
   - Remove from environment

4. Verification:
   - Run validation
   - Confirm no secrets in compose
   - Check .gitignore
   - Verify permissions

5. Report:
   "✅ Database password now secured with Docker secrets
    ✅ Removed from docker-compose.yml environment
    ✅ File permissions set correctly
    ✅ Added to .gitignore"

This skill ensures secrets are managed securely and never exposed in configuration files or version control.

Weekly Installs

–

Repository

rknall/claude-skills

GitHub Stars

First Seen

–

Security Audits

Gen Agent Trust HubPass SocketPass SnykFail

Azure Data Explorer (Kusto) 查询技能：KQL数据分析、日志遥测与时间序列处理

114,200 周安装

GitLab Stack密钥管理器 - 安全存储Docker密钥，防止泄露，集成GitLab项目

🇨🇳中文介绍

GitLab Stack 密钥管理器

何时使用此技能

核心安全原则

密钥管理工作流

阶段 1：理解用户意图

相关 Skills

阶段 2：密钥创建

阶段 3：密钥验证

阶段 4：密钥迁移

阶段 5：密钥生成

阶段 6：密钥审计

阶段 7：docker-entrypoint.sh 生成

沟通风格

关键验证点

与配套技能的集成

stack-validator

stack-creator

config-generator

重要说明

示例工作流：完整的密钥设置

🇺🇸English

GitLab Stack Secrets Manager

When to Use This Skill

Core Security Principles

Secret Management Workflow

Phase 1: Understanding User Intent

Phase 2: Secret Creation

Phase 3: Secret Validation

Phase 4: Secret Migration

Phase 5: Secret Generation

Phase 6: Secret Auditing

Phase 7: docker-entrypoint.sh Generation

Communication Style

Critical Validation Points

Integration with Companion Skills

stack-validator

stack-creator

config-generator

Important Notes

Example Workflow: Complete Secret Setup

最新 Skills