fix: inject/run 仅注入 secrets 字段，不含 metadata

- build_injected_env_map 不再合并 metadata - 删除 build_metadata_env_map 及其测试 - 更新 README、AGENTS.md 文档 - bump 版本至 0.9.5 Made-with: Cursor
2026-03-19 17:03:01 +08:00
parent 854720f10c
commit 3a5ec92bf0
6 changed files with 11 additions and 45 deletions
--- a/AGENTS.md
+++ b/AGENTS.md
@@ -30,7 +30,7 @@ secrets/
      update.rs          # update 命令：增量更新，secrets 行级 UPSERT/DELETE，CAS 并发保护
      rollback.rs        # rollback 命令：按 entry_version 恢复 entry + secrets
      history.rs         # history 命令：查看 entry 变更历史列表
-      run.rs             # inject / run 命令：逐字段解密 + key_ref 引用解析
+      run.rs             # inject / run 命令：仅 secrets 逐字段解密 + key_ref 引用解析（不含 metadata）
      upgrade.rs         # upgrade 命令：检查、校验摘要并下载最新版本，自动替换二进制
      export_cmd.rs      # export 命令：批量导出记录，支持 JSON/TOML/YAML，含解密明文
      import_cmd.rs      # import 命令：批量导入记录，冲突检测，dry-run，重新加密写入
@@ -440,7 +440,7 @@ secrets rollback -n refining --kind service --name gitea --to-version 3

 ### inject — 输出临时环境变量

-敏感值仅打印到 stdout，不持久化、不写入当前 shell。
+仅注入 secrets 表中的加密字段（解密后），不含 metadata。敏感值仅打印到 stdout，不持久化、不写入当前 shell。

 ```bash
 # 参数说明
@@ -451,7 +451,7 @@ secrets rollback -n refining --kind service --name gitea --to-version 3
 #   --prefix           变量名前缀（留空则以记录 name 作前缀）
 #   -o / --output      text（默认 KEY=VALUE）| json | json-compact

-# 打印单条记录的所有变量（KEY=VALUE 格式）
+# 打印单条记录的 secrets 变量（KEY=VALUE 格式）
 secrets inject -n refining --kind service --name gitea

 # 自定义前缀
@@ -468,7 +468,7 @@ eval $(secrets inject -n refining --kind service --name gitea)

 ### run — 向子进程注入 secrets 并执行命令

-secrets 仅作用于子进程环境，不修改当前 shell，进程退出码透传。
+仅注入 secrets 表中的加密字段（解密后），不含 metadata。secrets 仅作用于子进程环境，不修改当前 shell，进程退出码透传。

 ```bash
 # 参数说明