Shelve
Zentrales Secrets-Management mit Verschlüsselung und Team-Synchronisation
Zusammenfassung
Shelve ist eine Plattform für sicheres Secrets-Management, die API-Keys, Tokens und Umgebungsvariablen zentral verwaltet. Das Tool bietet Envelope-Verschlüsselung pro Projekt, automatische GitHub-Synchronisation und ist kompatibel mit AI-Coding-Agents wie Cursor und Claude.
✓ Vorteile
- + Open Source und kostenlos selbst hostbar mit vollständiger Kontrolle über Verschlüsselungskeys
- + AES-256-GCM Envelope-Verschlüsselung pro Projekt begrenzt Schaden bei Kompromittierung
- + Nahtlose Integration mit AI-Coding-Agents durch automatische .cursorignore/.aiderignore-Konfiguration
✗ Nachteile
- − Gehostete Version noch relativ neu, langfristige Verfügbarkeit unklar
- − Begrenzte Third-Party-Integrationen außer GitHub derzeit verfügbar
Anwendungsfälle
- → Zentrale Verwaltung von API-Keys und Umgebungsvariablen für Entwicklerteams
- → Automatische Synchronisation von GitHub Actions Secrets mit Single Source of Truth
- → Sichere Secrets-Injection in CI/CD-Pipelines ohne .env-Dateien auf der Festplatte
- → Audit-Logging aller Zugriffe auf sensible Konfigurationsdaten mit IP und User-Agent
Ideal für
Entwicklerteams und DevOps-Engineers, die eine sichere, zentrale Lösung für Secrets-Management mit vollständiger Audit-Kontrolle benötigen.
Tags
Was ist Shelve?
Shelve ist eine Plattform für Secrets-Management, die API-Keys, Tokens und Umgebungsvariablen zentral speichert und verwaltet. Der Kern des Ansatzes: Keine .env-Dateien mehr auf lokalen Festplatten oder in Repositories, sondern eine verschlüsselte, versionierte Quelle für alle Konfigurationsdaten eines Teams. Shelve lässt sich selbst hosten. Wer das tut, behält vollständige Kontrolle über die Verschlüsselungskeys.
Kernfunktionen
- AES-256-GCM Envelope-Verschlüsselung pro Projekt. Wird ein einzelnes Projekt kompromittiert, bleiben andere Projekte geschützt, weil jeder Schlüssel separat verwaltet wird.
- GitHub Actions Synchronisation. Shelve fungiert als Single Source of Truth und schreibt Secrets automatisch in GitHub Actions. Manuelle Pflege an zwei Stellen entfällt.
- Secrets-Injection in CI/CD-Pipelines. Statt
.env-Dateien auf dem Build-Server landen Secrets direkt und kontrolliert im Pipeline-Prozess. - Audit-Log mit IP und User-Agent. Jeder Zugriff auf sensible Konfigurationsdaten wird protokolliert. Das erleichtert forensische Analysen nach Vorfällen.
- AI-Agent-Kompatibilität. Shelve konfiguriert automatisch
.cursorignore- und.aiderignore-Dateien, damit Tools wie Cursor oder Claude keinen Zugriff auf Secret-Dateien bekommen. - Open-Source und selbst hostbar. Der vollständige Code ist einsehbar, das Deployment liegt in eigener Hand.
Für wen eignet sich Shelve?
Entwicklerteams, die Secrets bisher über geteilte .env-Dateien, Passwortmanager oder informelle Kanäle verteilen, bekommen mit Shelve eine zentrale Alternative mit Zugriffsprotokoll. Besonders relevant ist das Audit-Logging für Teams, die Compliance-Anforderungen erfüllen müssen. Die AI-Agenten-Integration adressiert ein konkretes Problem: Viele Entwickler arbeiten inzwischen mit Coding-Assistenten, die ohne explizite Konfiguration auch auf Secret-Dateien zugreifen können.
Wer die gehostete Version nutzen will, sollte bedenken, dass Shelve noch relativ neu ist und die langfristige Verfügbarkeit des Dienstes unklar bleibt. Für produktionskritische Umgebungen ist die Self-Hosted-Variante daher die naheliegendere Wahl.
Einordnung & Alternativen
Shelve bewegt sich im Segment der entwicklerzentrierten Secrets-Manager, zu dem auch HashiCorp Vault, Doppler oder Infisical gehören. Vault ist deutlich umfangreicher, erfordert aber entsprechend mehr Konfigurationsaufwand. Infisical ist ebenfalls Open Source und bietet mehr Third-Party-Integrationen. Genau da liegt Shelves aktuell deutlichste Einschränkung: Außer GitHub sind kaum weitere Integrationen verfügbar.
Wer primär mit GitHub arbeitet, AI-Coding-Agents im Team einsetzt und eine schlanke Self-Hosted-Lösung mit nachvollziehbarem Audit-Trail sucht, bekommt mit Shelve ein fokussiertes Werkzeug, das genau diesen Stack abdeckt.
