Менеджер паролей для команды разработки: что важно DevOps-инженеру
DevOps-инженер за день касается десятков секретов. Токены CI, ключи API облаков, пароли баз данных, сертификаты, доступы в Kubernetes. Каждый секрет потенциально утекает через git, локальные .env-файлы, сообщения в Telegram и Confluence. По исследованиям GitGuardian, в 2024 году в публичный GitHub утекло свыше 23 миллионов секретов, и эта цифра только растёт. Для российских компаний картина усугубляется: HashiCorp Vault, привычное решение для секретов, недоступен в РФ с 2023 года.
Что в результате нужно DevOps-инженеру от менеджера паролей. Не красивый UI, а конкретные инструменты: CLI, API, интеграции с пайплайнами, гранулярные роли и аудит без боли.
Принцип первый: секреты не живут в git и .env
Сценарий, который повторяется десятки раз в неделю. Разработчик пишет код, ему нужен токен для API, он создаёт файл .env, добавляет в .gitignore, забывает добавить в .gitignore, и через час токен в публичном репозитории. Дальше боты сканируют GitHub и используют ключ в течение минут.
BearPass работает иначе. CLI-утилита получает секрет в момент запуска приложения, а не хранит его рядом с кодом:
Секрет существует только в памяти процесса. После завершения работы он не остаётся ни в git, ни на диске, ни в bash-истории. REST API через OpenID Connect и JWT-токены даёт ту же возможность приложениям, написанным на любом языке.
Принцип второй: CI/CD получает секреты по запросу
Хранить production-токены в переменных окружения GitLab, GitHub Actions или Jenkins удобно, пока кто-то с правом просмотра пайплайна не оказался уволенным. Проверить, кто видел токен, в стандартном интерфейсе CI почти невозможно.
BearPass отдаёт секреты в момент сборки через REST API. Пайплайн получает короткоживущий JWT-токен, забирает нужный секрет и забывает его. Каждый такой запрос попадает в журнал событий BearPass с указанием пайплайна, времени, IP-адреса и запрошенного ресурса. Через syslog события уходят в SIEM (KUMA, MaxPatrol SIEM, Splunk, QRadar). Если в три ночи токен production-БД запросил агент, которого вы не настраивали, аналитик получает уведомление сразу.
Принцип третий: разработчики не видят production-секреты
В небольшой команде это правило ломается часто. У бэкенд-разработчика «есть» прод-пароль, потому что когда-то понадобилось проверить миграцию. Через полгода этот разработчик уволился. Пароль остался у него в браузере, в личном Slack и в почте.
BearPass решает это через RBAC и модуль «Пространства» (релиз 2.26.0). Пространства разделяют контуры: dev, staging, production, по командам, по проектам, по дочерним обществам. Разработчик получает доступ к dev и staging, инженеры платформы к production. SSO с Active Directory или ALD Pro автоматически отзывает доступы при изменении статуса сотрудника в кадровой системе. Уволен в кадровой, сразу же не имеет доступа в BearPass.
Принцип четвёртый: ротация без даунтайма
Каждый секрет рано или поздно нужно ротировать. Скомпрометирован токен, истёк срок жизни ключа, ушёл сотрудник, нужна плановая смена. Без менеджера паролей это согласование между тремя командами и три часа вечером пятницы.
В BearPass администратор генерирует новый пароль одной командой, обновляет его в целевой системе (через интеграцию или ручную операцию) и помечает старый как деактивированный. Все, у кого есть доступ через CLI или API, получают новое значение автоматически при следующем запросе. Модуль «Правила» отправляет автоуведомления владельцам ресурсов: смотрите, такого-то числа этот секрет был обновлён, проверьте свои сервисы.
Принцип пятый: видимость без героических усилий
DevOps-инженер не должен сам собирать аудит ручными SQL-запросами. Журнал событий BearPass из коробки фиксирует: кто, что, когда, откуда. Через syslog данные интегрируются с SIEM. Через REST API можно выгружать события для собственных дашбордов в Grafana или Kibana. Мониторинг даркнета через HaveIBeenPwned с k-Anonymity подсветит, если корпоративные учётные записи всплыли в публичных утечках.
Что особенно важно в российских реалиях
HashiCorp Vault недоступен с 2023 года. Альтернативы вроде Deckhouse Stronghold (MPL-форк) и StarVault (Orion soft) активно развиваются, но имеют разный фокус и зачастую решают задачу серверных секретов отдельно от паролей сотрудников. BearPass закрывает обе задачи одной системой: команда DevOps работает с пространствами через CLI и API, а остальные сотрудники с теми же пространствами через UI и расширение.
Серверная сторона. Развёртывание в Docker или нативно за 1-2 часа. Совместимость с Astra Linux, РЕД ОС, Debian и Ubuntu. Шифрование данных по ГОСТ и AES-256-GCM, что важно для компаний, попадающих под требования ФСТЭК (приказ №117 от марта 2026 года) и 152-ФЗ.
Сравнение подходов к хранению секретов
Часто задаваемые вопросы
Поддерживается ли BearPass в GitLab CI, GitHub Actions и Jenkins?
Да, через REST API с JWT-токенами и OpenID Connect. Также доступна CLI-утилита bearpass-cli для скриптов и docker-образов сборки. Пайплайн получает короткоживущий токен, забирает нужный секрет, и каждый запрос журналируется.
Можно ли использовать BearPass для серверных секретов и для паролей сотрудников одновременно?
Да, это одна из ключевых идей продукта. Команда DevOps работает с теми же пространствами через API и CLI, что и остальные сотрудники через UI или браузерное расширение 1.11.0. Это убирает дублирование инструментов и упрощает аудит.
Чем BearPass отличается от Deckhouse Stronghold и StarVault?
Stronghold (MPL-форк Vault) и StarVault (Orion soft) фокусируются на серверной стороне как полноценные форки Vault. BearPass, корпоративный менеджер паролей с акцентом на команду, удобный UI, RBAC, журналы и SIEM-интеграции. Часто компании используют обе категории решений рядом для разных задач.
Сколько стоит для команды из 10 человек?
21 600 рублей в год за 10 пользователей по подписке, 10 800 рублей при продлении. До 5 пользователей бесплатно бессрочно, поэтому пилотный проект можно запустить без бюджета. Облачный вариант BearPass Cloud стоит 3 рубля в день за пользователя.