Vercel oculta secretos en los logs de build: [REDACTED] no es toda la frontera
Desde el 9 de julio, Vercel sustituye por REDACTED los valores Sensitive de 32 caracteres o más en los logs de build. Activity Log conserva clave, proyecto y deployment, nunca el valor.
Qué cambió
Desde el 9 de julio, Vercel sustituye por REDACTED los valores Sensitive de 32 caracteres o más en los logs de build. Activity Log conserva clave, proyecto y deployment, nunca el valor.
Límites
No presupongas cobertura para tokens cortos, valores transformados o copias aguas abajo. Sensitive solo existe en Preview y Production, y una variable normal debe borrarse y crearse de nuevo.
Modelo operativo
Separa configuración pública, interna y credenciales. Inyecta cada secreto solo en la fase necesaria y prueba Actions, Log Drains, artefactos y tickets con canarios.
Señal de la comunidad
Las preguntas de la comunidad sobre integraciones muestran que la etiqueta de seguridad puede perderse al sincronizar sistemas. Verifica semántica, drift y rotación.
Lista de control
✓Inventariar credenciales y responsables.
✓Rotar y recrear valores no Sensitive.
✓Probar valores cortos y transformados.
✓Revocar y rotar tras una exposición.
Fuentes
- Vercel Changelog: Build logs now redact Sensitive Environment Variable values
- Vercel Docs: Sensitive Environment Variables
- Vercel Security Bulletin: April 2026 security incident
- Vercel Docs: Environment variables
- OWASP Cheat Sheet: Logging
- GitHub Docs: Secrets reference
- Vercel Community: Integration variables and Sensitive mode