bw-cli

核心用法

bw-cli 是一个纯文档参考型技能，完整覆盖 Bitwarden 密码管理器 CLI 的全功能操作。用户可通过该技能掌握：身份认证流程（login/unlock/logout）、保险库 CRUD 操作（项目/文件夹/附件/集合）、密码与口令生成、组织级权限管理，以及 Send 安全共享功能。技能采用"先解锁、必要时登录"的优化工作流，配合 BW_SESSION 环境变量实现无交互自动化操作。

典型使用场景包括：开发环境快速获取数据库密码、CI/CD 流水线注入密钥、团队共享敏感配置、批量密码轮换等。所有操作均通过标准 bw 命令完成，技能本身不执行任何代码，仅提供经过验证的命令模板与安全配置指南。

显著优点

权威性与完整性：基于 Bitwarden 官方文档构建，涵盖 546 行详尽参考，从基础安装到高级组织管理无一遗漏。支持自托管 Vaultwarden 与企业云端的混合部署场景。

安全设计导向：内置多层安全最佳实践——强制 .secrets 文件 600 权限、自动 .gitignore 保护、API 密钥替代密码登录、会话及时锁定机制。明确警示"永不记录 BW_SESSION 或 BW_PASSWORD"。

自动化友好：提供完整的非交互式工作流模板，支持 --passwordenv、、--raw、、--quiet 等标志位，便于 Shell 脚本与 DevOps 流水线集成。bw serve 模式更可暴露 REST API 供其他服务调用。

零执行风险：纯 Markdown 文档型技能，无嵌入代码、无动态下载、无网络请求，彻底消除供应链攻击面。

潜在缺点与局限性

依赖外部生态：必须预装 bw CLI 二进制与 jq 工具，Windows 环境需额外配置。自托管 Vaultwarden 存在已知 API 密钥登录兼容性问题，需回退到邮箱密码方案。

学习曲线陡峭：JSON 管道操作（bw encode//jq` 组合）对非技术用户不够友好，创建复杂项目（如带自定义字段的登录项）需掌握嵌套模板语法。

功能边界限制：作为文档型技能，无法直接执行命令验证结果，错误排查依赖用户手动运行。导出功能（bw export）虽文档化，但无额外二次确认机制提醒，误操作可能导致敏感数据泄露。

同步延迟风险：bw sync 为手动触发，多设备场景下可能出现保险库状态不一致，需用户自行设计同步策略。

适合的目标群体

• DevOps/SRE 工程师：需要在 CI/CD 中安全注入密钥、管理基础设施凭据
• 开发团队：共享开发环境数据库密码、API 密钥，避免硬编码
• 安全管理员：批量审计密码强度、执行企业级保险库治理
• 技术型个人用户：追求命令行效率、需要自托管密码方案的高级用户

不适合无 CLI 经验的普通终端用户，或寻求图形界面管理工具的场景。

使用风险

配置风险：.secrets 文件权限配置错误（非 600）或误提交至版本控制将导致主密码泄露。建议配合 git-secrets 等预提交钩子加固。

会话管理风险：BW_SESSION 长期暴露于环境变量可能被进程转储获取。生产环境建议缩短会话有效期，使用 bw lock 主动清理。

导出与共享风险：bw export 生成明文备份、、bw send 创建临时外链，均需人工评估数据敏感度。组织场景下需配合 DLP 策略防止数据外泄。

供应链风险：bw CLI 本身虽开源可信，但 npm/包管理器安装渠道存在篡改可能，建议校验官方签名或从 bitwarden.com 直接下载。