vellis/wiki
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
master
wiki/Catalogue-Self-Hosted/apps/app-infisical.md
T
vellis bda02d587f Initial vault setup
2026-06-09 18:40:21 +02:00

5.8 KiB
Raw Permalink Blame History

title: Infisical created: 2026-06-06 updated: 2026-06-06 type: app tags: [catalogue, password-manager, secrets, devops, typescript, privacy] confidence: high contested: false sources: [https://selfh.st/apps/?tag=Password+Manager, https://infisical.com/]

🔑 Infisical

Plateforme moderne de secrets management pour les développeurs. Alternative open-source à HashiCorp Vault, plus simple à prendre en main.

📋 Informations Générales

Champ Valeur
Site web infisical.com
GitHub Infisical/infisical
License Custom (source-available, gratuit)
Langage TypeScript
Étoiles GitHub 27k
Dernière MAJ 2026-06-05
Catégorie [[cat-password-manager

📝 Description

Infisical est une plateforme de gestion de secrets pensée pour les équipes de développement modernes :

  • Stockage chiffré de secrets (clés API, passwords, tokens)
  • UI web moderne pour gérer les secrets
  • CLI pour injecter les secrets dans les apps
  • SDK : Node.js, Python, Go, Java, Ruby, .NET
  • Integrations : Kubernetes, Docker, GitHub Actions, Terraform
  • Sync avec HashiCorp Vault, AWS Secrets Manager, etc.
  • Environnements (dev, staging, prod) avec override
  • Audit log complet
  • RBAC (Role-Based Access Control)
  • Secret rotation intégrée

Public cible : équipes DevOps qui veulent gérer les secrets de manière centralisée sans la complexité de HashiCorp Vault.

Différence avec un password manager classique : Infisical ne stocke pas vos mots de passe personnels. Il stocke les secrets d'infrastructure (clés AWS, tokens GitHub, etc.).

🚀 Installation

Option 1 : Infisical Cloud (gratuit pour <5 users)

Pour tester sans setup : app.infisical.com

Option 2 : Self-hosted (Docker)

# docker-compose.yml
version: '3.8'
services:
  infisical:
    image: infisical/infisical:latest
    container_name: infisical
    restart: unless-stopped
    ports:
      - "8080:8080"
    environment:
      - ENCRYPTION_KEY=***      - JWT_SIGNUP_SECRET=***      - JWT_REFRESH_SECRET=***      - JWT_AUTH_SECRET=***      - SITE_URL=https://infisical.example.com
      - DB_CONNECTION_URI=postgresql://infisical:***@db:5432/infisical
      - REDIS_URL=redis://redis:6379
    depends_on:
      - db
      - redis
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.infisical.rule=Host(`infisical.example.com`)"
      - "traefik.http.routers.infisical.entrypoints=websecure"
      - "traefik.http.routers.infisical.tls.certresolver=letsencrypt"

  db:
    image: postgres:15
    container_name: infisical-db
    restart: unless-stopped
    environment:
      - POSTGRES_USER=infisical
      - POSTGRES_PASSWORD=***      - POSTGRES_DB=infisical
    volumes:
      - pg-data:/var/lib/postgresql/data

  redis:
    image: redis:7
    container_name: infisical-redis
    restart: unless-stopped

volumes:
  pg-data:

Option 3 : CLI (sans UI)

# Installer le CLI
curl -1sLf 'https://dl.cloudsmith.io/public/infisical/infisical-cli/setup.deb.sh' | sudo -E bash
sudo apt-get install infisical

# S'authentifier
infisical login

# Init dans un projet
infisical init

# Récupérer un secret
infisical secrets get DB_PASSWORD

⚙️ Configuration Initiale

  1. Démarrer Infisical (Docker Compose)
  2. Accéder à l'UI : https://infisical.example.com
  3. Créer un compte admin
  4. Créer un projet
  5. Créer des environnements (dev, staging, prod)
  6. Ajouter des secrets
  7. Connecter votre app (via CLI, SDK, ou Docker sidecar)

Exemple d'utilisation dans une app Node.js

import { InfisicalClient } from "@infisical/sdk";

const client = new InfisicalClient({
  token: process.env.INFISICAL_TOKEN
});

const dbPassword = await client.getSecret("DB_PASSWORD");
console.log(`DB Password: ${dbPassword}`);

🔄 Alternatives

Open Source

  • app-openbao — Plus complexe mais plus puissant
  • HashiCorp Vault — Standard industriel (mais pas 100% open source depuis BSL)
  • SOPS (Mozilla) — File-based, pas de serveur
  • Doppler — SaaS uniquement

Comparaison Infisical vs HashiCorp Vault

Critère Infisical HashiCorp Vault
Complexité Simple Complexe
UI Moderne (consul UI tiers)
Self-hosted
Cloud Freemium Commercial uniquement
License Custom (gratuit) BSL (restrictive)
Langage TypeScript Go
Use case Startups, devs Enterprise, compliance
Public cible Devs DevOps/Sec

Verdict : Infisical pour les petites équipes qui veulent vite être opérationnels. Vault pour les grosses boîtes avec besoins de compliance (HIPAA, SOC2...).

Propriétaires (ce qu'Infisical remplace)

  • HashiCorp Vault (partiellement)
  • AWS Secrets Manager (en self-hosted)
  • 1Password Teams (pour les secrets d'équipe, pas personnels)
  • Doppler (SaaS, ~$15/user/mois)

🔐 Sécurité

  • Chiffrement : AES-256-GCM côté serveur
  • KDF : Argon2id
  • Audit log : toutes les actions
  • RBAC : permissions fines
  • Secret rotation : intégrée
  • 2FA : TOTP, WebAuthn

📚 Ressources

Pages Liées

Reference in New Issue View Git Blame Copy Permalink