用 secrets_action_history 记录 secrets 表的新增、修改和删除，看起来像一个小需求，其实踩中了变更索引、审计、备份、review、性能、数据生命周期和 MySQL 分区限制这几块地雷。本文讨论这个方案是否靠谱，并给出按时间窗口拉取变更、定时清理、分区维护和巡检的落地方案。

SPIRE 系列第四篇：用一个迷你 Python 实验把 Workload Identity 落地，用 JWT-SVID 替代应用侧数据库密码分发，并串起 SPIFFE、SPIRE、Zero Trust 的完整链路。