Bitwarden CLI: gestión de contraseñas desde la terminal y automatización de CI/CD

En el artículo anterior desplegamos nuestro propio servidor Vaultwarden. Hoy — cómo trabajar con él desde la consola e integrarlo en la automatización.

Bitwarden CLI (la utilidad bw) — la herramienta oficial de línea de comandos de código abierto. Permite buscar credenciales directamente en el terminal y pasar secretos de forma segura a scripts y pipelines (GitHub Actions, GitLab CI, etc.). Es completamente gratuita y compatible con Vaultwarden autohospedado.

1. Instalación

# A través de NPM (cualquier SO)
npm install -g @bitwarden/cli

# macOS
brew install bitwarden-cli

# Linux (Ubuntu/Debian)
sudo snap install bw

Comprobamos:

bw --version

2. Conexión a tu servidor

Por defecto el CLI apunta a la nube de Bitwarden. Cambiamos a Vaultwarden:

bw config server https://vault.yourdomain.com

3. Autenticación: dos escenarios

Escenario A: Inicio de sesión interactivo (PC personal)

bw login

Escenario B: Inicio no interactivo (CI/CD)

Genera claves API en la interfaz web: Configuración de la cuenta → Seguridad → Claves de API, luego:

export BW_CLIENTID="user.xxxxx-xxxx-xxxx"
export BW_CLIENTSECRET="xxxxxxxxxxxxxx"

bw login --apikey

4. Desbloqueo del almacén y BW_SESSION

login solo autoriza en el servidor — los datos aún están cifrados. Para descifrarlos:

bw unlock

El sistema devolverá un token de sesión:

export BW_SESSION="AI39...=="

Copia y ejecuta esta línea. Mientras la variable $BW_SESSION esté establecida, la utilidad descifra las contraseñas localmente en memoria sin pedir la contraseña maestra en cada comando.

En scripts — en una sola línea:

export BW_SESSION=$(bw unlock --passwordenv BW_PASSWORD --raw)

5. Comandos principales

Copiar la contraseña al portapapeles (Linux):

bw get password github | xclip -selection clipboard

6. Plantilla de script para CI/CD

#!/usr/bin/env bash
set -e

# 1. Dirección del servidor
bw config server https://vault.yourdomain.com

# 2. Inicio de sesión con claves API (BW_CLIENTID y BW_CLIENTSECRET — en variables de entorno del CI)
bw login --apikey

# 3. Desbloqueo
export BW_SESSION=$(bw unlock --passwordenv BW_PASSWORD --raw)

# 4. Obtenemos el secreto por ID del elemento
# Averiguar el ID de antemano: bw list items --search "my-db"
DB_PASS=$(bw get item "8a562df1-443b-4892-baee-b123456789ab" | jq -r '.login.password')

echo "Запуск деплоя..."
# ./deploy.sh --pass=$DB_PASS

# 5. Finalizamos la sesión
bw logout

Reglas de seguridad

1. No guardes BW_SESSION en disco — solo en la memoria de la sesión actual o del proceso CI/CD.
2. Siempre llama a bw logout al final de los scripts — limpia las cachés cifradas locales.
3. Enmascara la salida en CI/CD — usa mecanismos de enmascaramiento de secretos (::add-mask:: en GitHub Actions), para que las contraseñas no aparezcan en logs públicos.

Conclusión

Bitwarden CLI convierte a Vaultwarden en un almacén de secretos completo para la infraestructura. Al hardcodear contraseñas en configuraciones y repositorios Git — fin.

Si Vaultwarden aún no está desplegado — comienza por el artículo anterior: Vaultwarden en 30 minutos.