Vercel maskiert Geheimnisse in Build-Logs: [REDACTED] ist nur ein Schutznetz

Tech

Vercel ersetzt seit dem 9. Juli Werte von Sensitive Environment Variables ab 32 Zeichen in Build-Logs durch REDACTED. Activity Logs enthalten Key, Projekt und Deployment, aber nicht den Wert.

Vercel maskiert Geheimnisse in Build-Logs: [REDACTED] ist nur ein Schutznetz
Praxisleitfaden zu Vercels Redaction für Sensitive Environment Variables und zu Klassifizierung, minimaler Injection, Tests und Rotation.

Was sich ändert

Vercel ersetzt seit dem 9. Juli Werte von Sensitive Environment Variables ab 32 Zeichen in Build-Logs durch REDACTED. Activity Logs enthalten Key, Projekt und Deployment, aber nicht den Wert.

Grenzen

Die Garantie gilt nicht automatisch für kurze, transformierte oder nachgelagerte Kopien. Sensitive ist nur für Preview und Production verfügbar; bestehende Variablen müssen entfernt und neu angelegt werden.

Betriebsmodell

Trennt public config, internal config und credentials. Injiziert Runtime-Secrets nicht in Install- oder Build-Phasen und prüft GitHub Actions, Log Drains, Artefakte und Tickets mit Canary-Werten.

Community-Signal

Community-Fragen zu Secret-Manager-Integrationen zeigen, dass Sicherheitsmerkmale an Systemgrenzen verloren gehen können. Prüft Synchronisierung und Rotation selbst.

Checkliste

Credentials inventarisieren und Owner festlegen.

Nicht-sensitive Secrets rotieren und neu anlegen.

Kurze und transformierte Canary-Werte testen.

Bei Exposition widerrufen und rotieren.

Quellen