CipherVault 2.0 — de secrets manager para plataforma completa de secrets, identidade e criptografia

5 de maio de 2026 · 3 min para ler

CEO & Co-founder, CipherVault

Hoje lançamos CipherVault 2.0 — major release consolidando 15 minor versions desde a v1.0. Este é o momento em que o CipherVault deixa de ser apenas um cofre de secrets e vira uma plataforma completa de secrets, identidade e criptografia self-hosted — competindo de igual para igual com HashiCorp Vault e CyberArk Conjur, e mantendo o foco em LGPD e mercado brasileiro.

✨ Highlights agregados (v1.6.0 → v1.9.1)

8 novos subsystems

Dual-control / Break-glass / Quorum (v1.6.0) — aprovação 2-de-2 em operações destrutivas e break-glass
Dynamic Secrets (v1.7.0–1.7.2) — JIT credentials TTL ≤24h em 6 engines: Postgres, MySQL, MongoDB, AWS STS, GCP IAM, Azure SP
SSH Certificate Authority (v1.7.3) — CA Ed25519 com certs efêmeros TTL ≤24h. Substitui authorized_keys distribuído + jumphost
Encryption-as-a-Service (v1.7.4) — API REST /eaas/keys/:name/encrypt|decrypt, AES-256-GCM, key versioning
Kubernetes Mutating Admission Webhook (v1.7.5) — pods anotados recebem injeção automática (init container OU sidecar) sem rolling-restart
PKI as a Service (v1.8.0) — CAs internas role-based, RSA-2048, CRL centralizada, mTLS interno entre microserviços
Workload Identity expandida (v1.8.0) — 4 métodos: K8s SA, AWS IAM, GCP IAM, Azure MSI
Tokenization / FPE (v1.9.0) — 3 formatos determinísticos (preserving, uuid, alphanumeric)

Tooling completo

CLI Go cv (v1.8.1) — single binary, 8 grupos de comandos, output json|table|raw, pipe-friendly
Terraform Provider oficial (v1.8.3) — 8 resources + 3 data sources usando terraform-plugin-framework v1.6+
AdminClient em 5 SDKs (v1.8.2 + v1.9.1) — Python, Go, Node/TS, Java, C# com bindings JWT bearer pra automação. Consumer SDKs (mTLS+DPoP) inalterados

Mais

Secretless Proxy (v1.9.0) — Go binary starter, app conecta em localhost:5432 com user/pass arbitrários e proxy injeta cred efêmera transparentemente. MVP — apenas Postgres CleartextPassword
Documentação operacional — HA_MULTI_REGION.md com 3 topologias + DR procedures; COMPLIANCE.md mapeando SOC 2 + ISO 27001:2022 Annex A → features

⚠️ Breaking changes

JWT carrega tenant_id claim — tokens emitidos antes do v1.6.0 não disparam dual-control. Re-login obrigatório na atualização
Migration cria 13 tabelas adicionais: approval_requests, dynamic_*, ssh_*, eaas_*, pki_*, workload_identity_methods, tokenization_*, dynamic_secret_tasks
Backend Docker image agora requer openssh-keygen (já incluído no Dockerfile oficial)

📦 O que vem a seguir

A 2.x será uma plataforma estável. Próximos meses focados em:

Polimento UX — flows simplificados em Approvals, EaaS, PKI
Mais engines de Dynamic Secrets — Oracle, SQL Server, Redis, Elasticsearch
Secretless Proxy expandido — MySQL, suporte TLS upstream, pool de leases
Documentação para operadores — runbooks, playbooks de incidente, capacity planning
Compliance — relatórios automatizados pra LGPD, ISO 27001 e SOC 2 com evidências geradas a partir do audit_logs

Atualizando

Self-hosted (Helm)

helm upgrade ciphervault ciphervault/ciphervault --version 2.0.0 \
  --reuse-values

A migration de 13 tabelas é idempotente. Re-login obrigatório para todos os usuários (tokens pré-1.6.0 não têm tenant_id).

CLI

# Linux/macOS
brew upgrade ciphervault-cli   # ou baixar do GitHub Releases

# Windows
scoop update ciphervault-cli

SDKs

pip install -U ciphervault              # Python 2.0.0
npm install @ciphervault/sdk@latest     # Node/TS 2.0.0
# Java/Go/C#: ver releases nos respectivos package managers

Obrigado a cada cliente, parceiro e contribuidor que tornou esta release possível. Continuamos firmes na missão de fazer do CipherVault o cofre brasileiro de referência para empresas sérias com segurança.

— Rafael Martinez, CEO

✨ Highlights agregados (v1.6.0 → v1.9.1)​

8 novos subsystems​

Tooling completo​

Mais​

⚠️ Breaking changes​

📦 O que vem a seguir​

Atualizando​

Self-hosted (Helm)​

CLI​

SDKs​