Zurück zum Blog
Updates

Runner-Secrets zentral verwalten – lokal reicht der Token

Anthropic-API-Key und Git-Tokens leben jetzt auf der Platform, nicht mehr in der .env des Runners. Der Setup-Wizard fragt weniger ab, es gibt eine neue Secrets-Verwaltung unter Settings → Runner, und ein Migrationshinweis führt bestehende Admins durch den Umbau.

Spedy Team4 Min. LesezeitRead in English
Runner-Secrets zentral verwalten – lokal reicht der Token
#runners#security#configuration#setup

Bisher brauchte ein Runner lokal vier oder fünf Umgebungsvariablen: API-URL, Runner-Token, Anthropic-Key, GitHub-Token, vielleicht Bitbucket dazu. Ab dieser Woche reichen zwei. Alles andere kommt beim Start direkt von der Platform.

Secrets laufen jetzt über die Platform

Der Runner authentifiziert sich mit seinem Token (rnt_…) gegen die Spedy-API und bekommt dort sein komplettes Runtime-Bundle: Anthropic-Key, Git-Tokens, MCP-Credentials. Die Werte werden auf der Platform verschlüsselt gespeichert (AES-256-GCM) und über TLS an den Runner ausgeliefert – sie landen nie auf der Festplatte des Runners, sondern nur im Prozessspeicher und in den Env-Vars der einzelnen Job-Container.

Lokal brauchst du im Runner nur noch:

SPEDY_API_URL=https://api.spedy.ai
SPEDY_RUNNER_TOKEN=rnt_…

Wenn du einen neuen Token erstellst, zeigt Spedy dir das Snippet direkt zum Kopieren an und prüft gleich, ob der Anthropic-Key im Vault schon liegt.

Neuer Secrets-Tab unter Einstellungen → Runner

Unter Einstellungen → Runner gibt es jetzt einen vierten Tab Secrets. Dort verwaltest du:

  • Anthropic-API-Key – einziger offiziell unterstützter LLM-Provider heute. OpenAI oder Gemini stehen (noch) nicht auf der Liste.
  • Custom-Env-Vars – für Werte, die dein Runner-Job sonst noch braucht (z. B. projekt­spezifische Flags).

Jeder Eintrag zeigt:

  • Scope + Provider + Env-Var-Name
  • Einen maskierten Preview (z. B. sk-a****abcd)
  • Zeitstempel für Erstellung, letzte Rotation, letzte Nutzung

Der volle Wert verlässt die Datenbank nur an genau einem Punkt: im Aufruf von /runners/bootstrap des Runners. Selbst Admins sehen den Klartext nach dem Speichern nicht mehr – beim Rotieren gibst du einen neuen Wert ein, fertig.

GitHub und Bitbucket kommen aus den Integrationen

Wenn du unter Einstellungen → Integrationen bereits GitHub oder Bitbucket verknüpft hast, musst du nichts im Secrets-Tab anlegen. Der Runner zieht sich den passenden Token beim Bootstrap automatisch aus der aktiven Integration und nutzt bei GitHub-App-Installationen einen kurzlebigen Installation-Token.

Der Secrets-Tab zeigt dir das auch in einem kleinen Hinweisbanner an, damit klar ist: Git wird dort nicht erneut erfasst.

Setup-Wizard: drei Schritte statt vier

Der Wizard, den du über den spedy-runner setup-Befehl im Browser öffnest, ist geschrumpft:

  1. AI Backend – „Anthropic-API (von der Platform)" oder „Lokale Claude-Installation (Max/Pro)"
  2. Configuration – Pool-Size (wie viele parallele Runner)
  3. Review & Connect – Token erstellen, Status-Check

Der frühere Schritt „Git Connections" ist weg – GitHub/Bitbucket kommen automatisch aus den Integrationen. Der Anthropic-Key wird im Wizard nicht mehr abgefragt; stattdessen siehst du auf der Review-Seite eine Checkliste:

Eintrag Status
ANTHROPIC_API_KEY im Vault ✓ oder ⚠ (Deep-Link zum Secrets-Tab, falls fehlend)
GitHub / Bitbucket aus Integrationen ✓ oder ⚠ (Deep-Link zur Integrations-Seite)

Fehlt der Anthropic-Key, legt der Wizard zwar den Runner-Token an, sendet aber das Bundle nicht an die lokale CLI, bis du das Secret nachträgst. So landet kein Runner online, der beim ersten Job scheitert.

Migration für bestehende Admins

Wenn du heute schon Runner laufen hast, erscheint oben auf der Runner-Seite ein Migrations-Banner mit zwei Schritten:

  1. Anthropic-Key im Vault hinterlegen – Direktlink in den Secrets-Tab.
  2. Supervisor einmalig neu starten – das Banner zeigt den konkreten Befehl:
docker compose pull
docker compose up -d --force-recreate spedy-supervisor

Das Banner verschwindet automatisch, sobald der ANTHROPIC_API_KEY im Vault liegt. Solange du den alten Wert in deiner lokalen .env stehen lässt, gewinnt der lokale Wert über den Platform-Wert – du kannst den Umbau also in Ruhe durchziehen und die Env-Zeile erst entfernen, wenn alles grün läuft. Der Runner holt das Bundle alle 15 Minuten neu, Rotationen propagieren ohne weiteren Restart.

Verantwortung: Limits setzen, Repos sauber halten

Weil der Runner jetzt direkt mit deinem Anthropic-Key arbeitet, blendet der Secrets-Tab oben einen Hinweis ein, der drei Dinge klarmacht:

  • Kosten sind deine. Spedy cappt, proxyt oder subventioniert den Verbrauch nicht. Was der Agent verbraucht, geht direkt gegen das Anthropic-Konto hinter dem Key.
  • Limits setzen. Im Anthropic-Dashboard Budgets + Rate-Limits. In Spedy unter Runner-Teams Token- und Kosten-Budgets pro Job. Agent-Loops können ohne Cap sechsstellige Cache-Read-Counts erreichen.
  • Keine Secrets im Repo. Der Agent liest den kompletten Arbeitsbaum als Kontext. Was er da findet (.env, private Keys, committete Tokens), kann er in Logs, Commits oder PR-Beschreibungen weiterreichen.

Zusammengefasst

Änderung Was es bedeutet
/runners/bootstrap Runner holt Secrets beim Start von der Platform
Neuer Secrets-Tab Anthropic-Key und Custom-Env-Vars zentral gemanagt
Git aus Integrationen GitHub/Bitbucket werden automatisch übernommen
Setup-Wizard Drei Schritte statt vier, kein Anthropic-/Git-Input mehr
Env-Hint im Token-Modal .env-Snippet + Checkliste direkt nach Token-Erstellung
Migrations-Banner Führt bestehende Admins in zwei Schritten durch den Umbau
Verantwortungs-Hinweis Kosten, Limits, Repo-Hygiene direkt im Secrets-Tab

Häufige Fragen

Die wichtigsten Fragen rund um dieses Thema — kurz beantwortet.

Muss ich meinen Runner neu einrichten?
Bestehende Runner laufen weiter, weil der Runner lokale YAML-/.env-Werte bevorzugt. Sobald du aber den Anthropic-Key aus der lokalen Datei entfernst, holt sich der Runner den Wert aus dem Platform-Vault. Ein Supervisor-Restart nach dem Update reicht.
Wo trage ich den Anthropic-API-Key jetzt ein?
Unter Einstellungen → Runner → Tab Secrets. Der Wert wird mit AES-256-GCM verschlüsselt gespeichert und nur an authentifizierte Runner über TLS ausgeliefert.
Was passiert mit GitHub- und Bitbucket-Tokens?
Nichts, die bleiben wo sie sind: unter Einstellungen → Integrationen. Der Runner zieht sich den passenden Token automatisch aus der aktiven Integration.
Wer zahlt die Claude-Kosten?
Du. Spedy proxyt, cappt oder subventioniert den Anthropic-Key nicht – die Kosten laufen direkt gegen dein Anthropic-Konto. Setze im Anthropic-Dashboard Budget- und Rate-Limits und konfiguriere zusätzlich Token-Budgets pro Job unter Runner-Teams.

Weiterlesen

Epic-Gruppierung, Massenaktionen im Backlog und Opus 4.7

Epic-Gruppierung, Massenaktionen im Backlog und Opus 4.7

Ordne Stories ihren Epics zu, arbeite im Backlog und im Issues Hub auf vielen Tickets gleichzeitig, und nutze Claude Opus 4.7 als neuen Default im Runner.

4 Min.
Knowledge Hub, eigene Base-Branches und ein aufgeräumtes Settings-Erlebnis

Knowledge Hub, eigene Base-Branches und ein aufgeräumtes Settings-Erlebnis

Ein neues StackOverflow-artiges Knowledge Hub mit Voting, Replies und AI-Konsolidierung. Plus: per-Repository konfigurierbare Base-Branches, ein konsolidiertes Settings-Layout und spürbar ruhigere Ticket-Bearbeitung.

6 Min.
MCP für alle, Cache-Metriken & Job-Benachrichtigungen

MCP für alle, Cache-Metriken & Job-Benachrichtigungen

MCP-Integration ist jetzt in allen Plänen verfügbar, Runner-Jobs zeigen Cache-Token-Metriken an, und Benachrichtigungen informieren dich über abgeschlossene, fehlgeschlagene oder wartende Jobs.

3 Min.
Runner-Secrets zentral verwalten – lokal reicht der Token – Spedy Blog | Spedy