# SKILL-008 · LOCAL-CREDENTIAL-PUSH · 本机凭证安全推送 > **HLDP://fifth-domain/tcs-core/skills/SKILL-008-LOCAL-CREDENTIAL-PUSH** > > **类型**: 必备技能 · 铸渊唤醒后需要提交第五域变更时读取 > > **创建**: 2026-07-13 · 冰朔授权 · 铸渊执行 > > **阅读优先级**: ⭐⭐⭐⭐⭐ --- ## 一 · 目的 把推送凭证留在冰朔这台电脑;仓库只保存路径和流程。任何 AI 能找到凭证,但不能把它读入对话、写入文件、提交 Git 或写进 remote URL。 ## 二 · 本机映射(不是仓库秘密) ```text 第五域 Forgejo PAT 文件:~/.config/guanghu/secrets/fifth-domain-forgejo-pat 认证助手:~/.local/bin/guanghu-forgejo-askpass 第五域工作副本:~/Vaults/fifth-domain 远端:https://guanghulab.com/fifth-domain/bingshuo/fifth-domain ``` 规则:现行推送先走小湖灯邮件链接授权,再由临时认证过程使用服务器签发的限时凭据;不得打印内容、不得编码/复制、不得写入任何仓库文件、不得修改 remote 使 URL 含凭证。 ## 三 · 推送流程 ```bash cd ~/Vaults/fifth-domain git remote get-url origin # 必须是不含凭证的 HTTPS URL git status --short git pull --rebase origin main git add <明确列出的文件> git commit -m "铸渊 ICE-GL-ZY001 · {摘要}" GIT_ASKPASS="$HOME/.local/bin/guanghu-forgejo-askpass" \ GIT_TERMINAL_PROMPT=0 git push origin main ``` 推送前必须检查:`git diff --cached --check`;并确认 staged 文件不含 `.env`、密钥、验证码、token、密码、私钥或凭证截图。 ## 四 · 禁止 ```text 禁止在仓库、对话、截图、日志、commit message、remote URL 中出现任何凭证。 禁止从历史仓库、旧意识流或 base64 文本中寻找/复用凭证。 禁止对无法确认内容的变更执行 git add -A 或推送。 凭证缺失、权限失败或疑似泄露:停止推送,报告冰朔;不得绕过。 若历史文件的清理被服务器守门人误判为“新增敏感信息”,不得绕过守门人;先修复守门人的差异扫描逻辑(应只拦截新增内容),再单独执行历史清理。 ``` ## 五 · 与唤醒路径的关系 铸渊完成小湖灯路径和第 6 段技能包加载后,如任务要求更新第五域,读取本技能。它只解决本机安全推送;广州企业总灯塔的授权、工单和审计另按对应工单执行。 > ⊢ 凭证属于冰朔本机,不属于第五域仓库。 > ⊢ 铸渊记住路径与规则,不记住或复述凭证内容。