Новая версия Python-коннектора 0.1.5 расширяет возможности CLI-утилиты. Мы добавили команды, которые решают ключевые задачи DevOps-инженеров и разработчиков — безопасное получение и обновление секретов в автоматизированных пайплайнах.
Почему это важно
Секреты, API-ключи, токены и пароли баз данных нельзя хранить в коде — это риск утечки. Ручное обновление замедляет процессы и провоцирует ошибки. Новые команды get и update в passwork-cli полностью автоматизируют управление секретами. Пассворк становится единым источником истины (SSOT): секреты не попадают в небезопасные места, жизненный цикл полностью автоматизирован.
Как работают команды:
get — получает данные из Пассворка
update — обновляет данные в Пассворке
Команды работают с любыми полями: паролями, токенами, API-ключами и пользовательскими полями.
Get: получение данных из записи
Команда get извлекает значение любого поля из записи и подходит для скриптов автоматизации.
Получение конкретного поля
Используйте флаг --field для извлечения логина, URL или значения из любого пользовательского поля.
# Получаем токен для доступа к API из пользовательского поля 'API_TOKEN'
export API_TOKEN=$(passwork-cli get --password-id "..." --field API_TOKEN)
Генерация TOTP-кодов
Если в Пассворке хранятся секреты для двухфакторной аутентификации, passwork-cli генерирует актуальный код прямо в терминале. Используйте флаг --totp-code.
# Получаем TOTP-код для подключения к VPN
VPN_TOTP=$(passwork-cli get --password-id "..." --totp-code "VPN_SECRET")
Update: обновление секретов
Команда update изменяет данные в Пассворке и автоматизирует ротацию секретов.
Обновление пользовательских полей
Флаг --custom-<field_name> обновляет значения в пользовательских полях.
# Обновляем API-ключ в записи
passwork-cli update --password-id "..." --custom-API_KEY "new-generated-key"
Массовое обновление
Теперь можно изменять несколько полей одной командой.
# Одновременно обновляем пароль и теги
passwork-cli update \
--password-id "..." \
--password "NewComplexP@ssw0rd" \
--tags "production,rotated,automated"
Поддержка клиентского шифрования
Команды get и update полностью поддерживают режим клиентского шифрования в Пассворке. При использовании get все зашифрованные поля автоматически расшифровываются с помощью мастер-ключа. При выполнении update данные сначала шифруются на вашей стороне и только после этого отправляются на сервер.
В новой версии добавили возможность настраивать уведомления и способы их получения, улучшили описание логируемых событий, расширили функции CLI, перенесли хранение ПИН-кода расширения на сторону сервера и реализовали возможность включения клиентского шифрования в мастере установки Пассворка.
Настройки уведомлений
Добавили раздел с настройками уведомлений, где можно выбрать типы уведомлений и способы их получения: внутри Пассворка или на указанную электронную почту.
Настроить уведомления можно в одноимённом разделе Уведомления в блоке Аккаунт меню настроек.
Раздел включает две вкладки:
Персональные — уведомления о событиях аутентификации и действиях других пользователей, влияющих на вашу учётную запись
История действий — уведомления о выбранных событиях из истории действий. Уведомления о событиях, связанных с директориями, паролями и ярлыками, доступны для директорий с уровнем доступа «Чтение» и выше.
Для каждого события вы можете выбрать, как хотите получать уведомления или отключить их. Используйте чекбоксы в двух колонках справа от названия события:
Колокольчик — уведомления в интерфейсе Пассворка
Конверт — имейл-уведомления на указанный адрес
Отметьте нужные чекбоксы. Настройки применяются независимо для каждого типа события
ПИН-код в браузерном расширении
ПИН-код расширения теперь хранится на сервере в виде криптографического хеша — это исключает хранение чувствительных данных в браузере и снижает риск их компрометации при взломе локальной машины. В настройках ролей можно задать максимальный период бездействия пользователя, по истечении которого расширение запросит повторный ввод ПИН-кода, сокращая окно потенциальной атаки и защищая от несанкционированного доступа к уже открытой сессии.
Как это работает
Действия при первом входе в расширение:
Пользователь авторизуется в расширении
Если ПИН-код обязателен для роли пользователя — появится предложение создать его
Если ПИН-код необязателен — пользователь может включить его добровольно для дополнительной защиты
После успешного входа открывается временное окно доступа — пользователь работает с расширением без повторного ввода ПИН-кода. Длительность окна зависит от настроек роли и личных предпочтений. ПИН-код запрашивается повторно, если пользователь не совершал действий в расширение в течение установленного периода времени.
Если пин-код обязателен для роли пользователя — отключить его нельзя
Безопасность
Даже если кто-то получит доступ к токену сессии пользователя, без ПИН-кода он не сможет открыть пароли в расширении.
Пассворк автоматически завершает все сессии пользователя при:
Сбросе ПИН-кода
Трёх неудачных попытках ввода
Включении обязательного ПИН-кода для роли пользователя
Изменении роли пользователя на ту, где ПИН-код обязателен
Добавили возможность включения шифрования на стороне клиента (режим Zero knowledge) через веб-интерфейс в мастере установки. Ранее для этого требовался запуск отдельного скрипта или редактирование конфигурационного файла.
Режим Zero knowledge включает шифрование всех данных на клиентской стороне, что делает их расшифровку невозможной даже при компрометации сервера. У каждого пользователя будет свой мастер-пароль, который никогда не передаётся на сервер.
Добавили модальное окно подтверждения изменения роли на «Владелец» и ограничили возможность назначения этой роли для пользователей без установленного мастер-пароля
Добавили постраничную навигацию и индикаторы изменений в модальном окне скрытых сейфов
Добавили информацию об ошибках и команды update и get в CLI-утилите (подробнее в документации)
Добавили возможность получения актуального TOTP-кода через CLI: теперь команда возвращает одноразовый код вместо исходного ключа
Улучшили логику анализа в панели безопасности: теперь записи с пустым полем «Пароль» не попадают в категорию «Слабые» и не оцениваются с точки зрения сложности
Добавили возможность ограничить срок действия ссылки одним днём при её создании
Улучшили отображение длинных имён и логинов в «Управлении пользователями»
Улучшили отображение неактивных пунктов в выпадающих списках
Улучшили описание событий в «Истории действий»
Оптимизировали импорт данных с большим количеством папок
Исправления
Исправили ошибку, при которой во время импорта из CSV не создавались папки и пароли импортировались в корневую директорию
Исправили автоматический запуск фоновых задач загрузки групп, пользователей и синхронизации LDAP при сохранении изменений на вкладках «Группы», «Синхронизация» и при запуске ручной синхронизации в «Настройках LDAP»
Исправили отображение элементов постраничной навигации при изменении ширины боковой панели
Исправили ошибку, при которой постраничная навигация в «Управлении пользователями» переставала работать после ввода поискового запроса
Исправили зависание окна импорта при загрузке файла с большим объемом данных и при импорте сейфов, содержащих только папки
Исправили ошибку в экспорте, при которой после выбора всех директорий общим чекбоксом могли экспортироваться не все пароли
Исправили ошибку при массовом удалении большого количества папок из Корзины
Исправили ошибки при перемещении столбцов в таблицах: наложение, смещение и выход за видимую область
Исправили фильтрацию по отправителю приглашения: теперь можно последовательно выбирать разных пользователей без сброса фильтра
Исправили ошибку, при которой чекбоксы в модальных окнах доступа не сбрасывались после отмены изменений
Исправили ошибку, при которой пользователь не добавлялся в сейф при подключении его группы к сейфу без доступа (версия с клиентским шифрованием)
Исправили ошибку, при которой пункты копирования и переноса папок в другой сейф были недоступны, если доступ к папкам выдан через группу без доступа к корневой директории
Исправили ошибку, при которой пункт «Переместить» оставался доступным для папок в директориях с доступом «Полный доступ»
Исправили ошибку со сбросом активной вкладки на вкладку «Пользователи» после обновления страницы «Управление пользователями»
Исправили ошибку в импорте из JSON с сохранением структуры, при которой пароли из папок могли перемещаться в корневую директорию
Исправили ошибку в импорте из KeePass XML при отсутствии тега <UUID> и некорректный перенос пользовательских полей
Исправили ошибку, при которой не сохранялась первая редакция пароля после миграции с версии 6.х.х
Исправили ошибку, при которой после подготовки к миграции в версии 5.4.2 переставали скачиваться вложения из ссылок, и это поведение сохранялось после обновления до версии 7.х.х
Исправили ошибку, при которой после миграции на версию 7.х.х для некоторых сейфов и паролей переставали отображаться списки ссылок в окне доступа
Исправили ошибку в миграции с версии 6.х.х, при которой в уведомлениях могло отображаться ID пользователя вместо его имени
Исправили ссылки на руководство пользователя: теперь они открываются в новой вкладке и ведут на корректные страницы
Исправили ошибку в отображении фавикона при смене URL на сайт с недоступным фавиконом
Исправили ошибку, при которой после копирования папок перетаскиванием выделение элементов не сбрасывалось автоматически
Исправили ошибку, при которой роль по умолчанию не отображалась в окнах создания и подтверждения пользователя
Исправили ошибку, при которой TOTP-код после смены ключа обновлялся только при повторном открытии карточки пароля
Другие изменения
Изменили значения по умолчанию в блоке «Доступ к действиям в сейфах» в разделе «Настройки сейфов»: теперь отправка паролей с правом чтения, отправка паролей с правом редактирования и создание ссылок на пароли доступны с уровня «Редактирование и выше» вместо «Полный доступ и выше»
Скрыли пункт «Пароль отправлен группе» из фильтра по действиям в «Истории действий» (версия с клиентским шифрованием)
Исправили отображение опций доступа при отправке паролей: теперь, если у пользователя нет прав на отправку паролей с доступом на редактирование, эта опция скрыта, а доступ на чтение установлен по умолчанию без возможности изменения
Скрыли пункт «Подключить мобильное устройство» для пользователей с запретом на использование мобильного приложения в настройках роли
Важно: Пассворк поддерживает MongoDB версии 7.0 или выше. Более ранние версии не поддерживаются и могут вызвать проблемы совместимости.
Всю информацию о версиях Пассворка можно найти в нашей истории обновлений.
В новой версии улучшили процесс миграции со старых версий Пассворка, дополнили описания событий в Истории действий и внесли исправления в интерфейс.
Улучшения
Добавили блокировку самостоятельной смены типа авторизации для пользователей
Улучшили миграцию на Пассворк 7 для версий Пассворка до 5.3
Улучшили описание некоторых событий в истории действий
Исправления
Исправили ошибку, при которой не удавалось переместить папку в Корзину через drag-and-drop, если в настройке «Уровень доступа для копирования папок и паролей» было установлено значение «Действие запрещено»
Исправили дублирование кнопки «Сохранить» в настройках сейфов
Исправили отображение индикаторов изменения параметров в Настройках сейфов и Управлении пользователями в Safari
Исправили некорректный редирект в Недавние после успешной авторизации расширения
Всю информацию о версиях Пассворка можно найти в нашей истории обновлений
Дополнительно улучшили защиту от кликджекинга: добавили блокировку нажатий на скрытые элементы и проверку перекрытия элементов и CSS-трансформаций
Исправили ошибку при попытке перейти по ссылке из уведомлений в удалённый сейф или пароль
Исправили ошибку, которая могла приводить к выходу из расширения
Изменения в версиях 2.0.25 и 2.0.26
В версии 2.0.25 отключили всплывающие окна с предложением автозаполнения для проверки расширения на устойчивость к кликджекинг-атакам. Также добавили предупреждения о подозрительных элементах на странице формы.
В версии 2.0.26 окна автозаполнения снова доступны и добавлена возможность их отключения на уровне всей организации. Расширение автоматически распознаёт и блокирует большинство распространённых методов кликджекинга.
Отключить всплывающие окна с предложение автозаполния можно с помощью настройки Встраиваемые скрипты в блоке Браузерное расширение системных настроек (начиная с версии Пассворк 7.1.2).
В новой версии добавили возможность создавать собственные типы сейфов с автоматическим назначением администраторов, доработали наследование прав доступа от групп и обработку параметров при генерации TOTP-кодов, а также внесли множество исправлений и улучшений.
Типы сейфов
В Пассворк 7.1 вы можете создавать собственные типы сейфов с гибкими настройками под задачи вашей организации:
Для каждого типа сейфа можно назначить администраторов, установить ограничения на создание новых сейфов и определить уровень доступа создателей
При создании сейфа или изменении его типа выбранные администраторы автоматически получат к нему доступ, а другие администраторы не смогут понизить их уровень доступа или удалить из сейфа
Новый функционал позволяет создавать разные типы сейфов для разных отделов или проектов, назначать ответственных администраторов и настраивать права под конкретные задачи
Просмотр всех сейфов в системе
Реализована возможность просмотра всех сейфов, созданных в организации, включая приватные сейфы пользователей. В списке отображаются только названия сейфов и список пользователей и групп, имеющих к ним доступ — содержимое сейфов все так же доступно только пользователям, напрямую добавленным в сейфы. Это открывает широкие возможности для аудита структуры хранения данных в системе. Право просмотра списка всех сейфов в системе определяется ролью пользователя.
Улучшения
Изменили логику наследования прав от нескольких групп: теперь, если пользователь состоит в группе с доступом «Полный доступ» и ниже к определенной директории, а также в группе, для которой доступ к этой директории запрещен, для него будет действовать запрет на доступ
Добавили настройки «Уровень доступа для выхода из сейфа» и «Уровень доступа для копирования папок и паролей»
Добавили возможность показывать системный баннер неавторизованным в Пассворке пользователям: при активации настройки «Показывать неавторизованным пользователям» баннер будет виден на страницах авторизации, регистрации, смены пароля и мастер-пароля
Добавили обработку параметров digits и period при генерации TOTP-кодов
Добавили кликабельные ссылки на сейфы, папки, пароли, роли, группы и пользователей в уведомлениях
Добавили перенос истории пользовательских сессий при миграции с Пассворк 6
Исправления
Исправили ошибку, при которой могла не отображаться страница настройки 2ФА при входе в Пассворк после активации параметра «Обязательная 2ФА» в настройках роли
Исправили ошибку, при которой некорректно считалось количество неудачных попыток входа по лимиту, заданному в настройке «Лимит неудачных попыток входа в течение установленного периода»
Исправили ошибку, при которой сессии мобильного приложения и браузерного расширения не сбрасывались после деактивации настроек «Использование мобильных приложений» и «Использование браузерных расширений» в настройках роли
Исправили ошибку, при которой фильтр по директориям в «Истории действий» после выбора сейфа показывал события из папок внутри этого сейфа: теперь отображаются только действия на выбранном уровне
Исправили ошибку, при которой поиск по цвету мог не работать для некоторых паролей
Исправили ошибку, при которой данные пользователя могли обновляться при отключенной настройке «Разрешить изменение пользователя во время LDAP-синхронизации»
Исправили ошибку в окне экспорта, при которой после снятия чекбоксов у всех папок внутри сейфа снимался чекбокс у сейфа
Исправили некорректное поведение настройки «Автоматический выход из системы при неактивности»
Исправили некорректное отображение текста заметок
Исправили некорректный переход в исходную директорию пароля или ярлыка после его редактирования в разделе «Избранные»
Исправили ошибку, при которой сбрасывалась дата удаления в корзине при миграции с Пассворк 6
Всю информацию об обновлениях Пассворка можно найти в нашей истории версий
В новой версии расширили возможности фильтрации в «Панели безопасности» и «Управлении пользователями», повысили производительность при работе с большими объёмами данных и внесли ряд улучшений в интерфейс.
Улучшения
Добавили возможность фильтровать пароли по имени и логину пользователя в «Панели безопасности»
Добавили открытие новой вкладки при переходе к паролю или папке из «Панели безопасности»
Добавили индикатор прогресса при выполнении действий в разделе «Управление пользователями»
Добавили возможность выбирать несколько ролей при фильтрации пользователей в «Управлении пользователями»
Добавили обработку параметра запрета экспорта данных в веб-интерфейсе
Оптимизировали работу с большим количеством данных
Исправления
Исправили дублирование событий в «Истории действий» при просмотре недавних, избранных и входящих паролей
Исправили дублирование кнопок сохранения и отмены изменений в «Системных настройках» и «Настройках SSO» при определенных сценариях
Исправили некорректное отображение пагинации при открытой карточке пароля в директории с большим количеством объектов
Исправили ошибку, при которой пользователи с правом просмотра раздела «Управление пользователями» не могли просматривать страницы некоторых пользователей
Исправили ошибку, при которой в окне дополнительного доступа отображались кнопки «Создать ярлык», «Создать ссылку» и «Отправить», даже если у пользователя не было прав на эти действия
Исправили ошибку, при которой в настройках ролей пункт «Управление ролями» оставался недоступным в некоторых сценариях, даже если все условия для его активации были выполнены
Исправили ошибку, при которой можно было установить доступ «Редактирование» для отправленного пароля через окно дополнительного доступа, даже если действовало ограничение на отправку паролей с этим уровнем доступа
Исправили ошибку, из-за которой при создании папки нельзя было задать название, совпадающее с названием родительской папки
Исправили ошибку с возможным использованием устаревших настроек при запуске фоновых задач
Исправили ошибку в расшифровке данных при настройке SMTP с анонимной авторизацией
Исправили ошибку при подключении пользователя к сейфу через группу в разделе «Управление пользователями» (в версии без клиентского шифрования)
Исправили некорректный переход в директорию назначения при копировании папки через контекстное меню
Исправили некорректный переход в раздел «Недавние» при выборе «Ручной настройки» почтовой службы в «Системных настройках»
Исправили ошибку в валидации паролей авторизации при использовании нижнего пробела
Исправили ошибку в миграции при наличии некорректных id
Всю информацию об обновлениях Пассворка можно найти в нашей истории версий
В новой версии добавили возможность отправки пароля группе пользователей, реализовали учёт алгоритма шифрования OTPAuth при генерации TOTP-кодов и поддержку внутренних ссылок между шестой и седьмой версиями Пассворка, а также исправили ошибки в интерфейсе и локализации.
Отправка пароля группе пользователей (только в версии без клиентского шифрования)
Теперь можно отправлять пароли группе пользователей — для этого в модальном окне отправки пароля появилось новое поле «Группы».
Доступ к паролю обновляется автоматически:
Если в группу добавили нового пользователя, он сразу увидит пароль во «Входящих»
Если пользователя удалили из группы, пароль исчезнет из его «Входящих»
Если один и тот же пароль отправлен пользователю напрямую и через группу, действует уровень доступа, установленный напрямую
Улучшения
Добавили поддержку ссылок на сейфы, папки, пароли, ярлыки и другие сущности между 6-й и 7-й версиями Пассворка
Добавили учёт алгоритма шифрования OTPAuth при генерации TOTP-кодов
Добавили детальное логирование изменений настроек SSO
Добавили возможность просматривать историю действий с ярлыком удалённого пароля
Добавили возможность перейти в директорию ярлыка из модальных окон дополнительного доступа, если у пользователя есть доступ к указанным директориям
Добавили пустое состояние для модального окна экспорта данных • Заблокировали чекбоксы у директорий в управлении пользователями, если у пользователя для них установлен «Полный доступ» и ниже
Обновили вид карточки удалённого ярлыка
Исправления
Исправили некорректную работу кнопки сброса мастер-пароля в модальном окне «Авторизация и 2ФА» при отключённой авторизации по локальному паролю
Исправили ошибку, при которой у пользователей могла отображаться кнопка «Назначить владельцем» при изменении роли другого пользователя, при этом попытка назначения сопровождалась сообщением «Доступ запрещён»
Исправили ошибку, при которой после открытия пароля пропадало выделение текущей директории в панели навигации
Исправили ошибку, при которой событие «2ФА подключена» логировалось до подтверждения подключения 2ФА
Исправили ошибку, при которой в фильтрах могли отображаться не все группы и роли
Исправили ошибку «Доступ запрещён» при попытке перейти из ярлыка к исходному паролю в сейфе с уровнем доступа «Редактирование»
Исправили ошибку при открытии контекстного меню пароля, если в поле с TOTP указан OTPAuth URI
Всю информацию об обновлениях Пассворка можно найти в нашей истории версий
Илья Шелыгин
Илья Шелыгин
Илья Шелыгин
