Vercel maskiert Geheimnisse in Build-Logs: [REDACTED] ist nur ein Schutznetz
Vercel ersetzt seit dem 9. Juli Werte von Sensitive Environment Variables ab 32 Zeichen in Build-Logs durch REDACTED. Activity Logs enthalten Key, Projekt und Deployment, aber nicht den Wert.
Was sich ändert
Vercel ersetzt seit dem 9. Juli Werte von Sensitive Environment Variables ab 32 Zeichen in Build-Logs durch REDACTED. Activity Logs enthalten Key, Projekt und Deployment, aber nicht den Wert.
Grenzen
Die Garantie gilt nicht automatisch für kurze, transformierte oder nachgelagerte Kopien. Sensitive ist nur für Preview und Production verfügbar; bestehende Variablen müssen entfernt und neu angelegt werden.
Betriebsmodell
Trennt public config, internal config und credentials. Injiziert Runtime-Secrets nicht in Install- oder Build-Phasen und prüft GitHub Actions, Log Drains, Artefakte und Tickets mit Canary-Werten.
Community-Signal
Community-Fragen zu Secret-Manager-Integrationen zeigen, dass Sicherheitsmerkmale an Systemgrenzen verloren gehen können. Prüft Synchronisierung und Rotation selbst.
Checkliste
✓Credentials inventarisieren und Owner festlegen.
✓Nicht-sensitive Secrets rotieren und neu anlegen.
✓Kurze und transformierte Canary-Werte testen.
✓Bei Exposition widerrufen und rotieren.
Quellen
- Vercel Changelog: Build logs now redact Sensitive Environment Variable values
- Vercel Docs: Sensitive Environment Variables
- Vercel Security Bulletin: April 2026 security incident
- Vercel Docs: Environment variables
- OWASP Cheat Sheet: Logging
- GitHub Docs: Secrets reference
- Vercel Community: Integration variables and Sensitive mode