Vercel masque les secrets des logs de build : [REDACTED] reste un garde-fou
Depuis le 9 juillet, Vercel remplace par REDACTED les valeurs Sensitive d’au moins 32 caractères dans les logs de build. L’Activity Log garde la clé, le projet et le deployment, jamais la valeur.
Le changement
Depuis le 9 juillet, Vercel remplace par REDACTED les valeurs Sensitive d’au moins 32 caractères dans les logs de build. L’Activity Log garde la clé, le projet et le deployment, jamais la valeur.
Les limites
La garantie ne couvre pas implicitement les tokens courts, les transformations ou les copies en aval. Sensitive ne s’applique qu’à Preview et Production, et une variable existante doit être recréée.
Modèle opérationnel
Séparez configuration publique, interne et credentials. N’injectez chaque secret que dans la phase nécessaire et testez Actions, Log Drains, artefacts et tickets avec des canaris.
Signal communautaire
Les retours communautaires sur les intégrations montrent qu’une propriété de sécurité peut se perdre entre systèmes. Vérifiez synchronisation, drift et rotation.
Checklist
✓Inventorier secrets et responsables.
✓Faire tourner puis recréer les valeurs.
✓Tester formes courtes et transformées.
✓Révoquer et faire tourner après exposition.
Sources
- Vercel Changelog: Build logs now redact Sensitive Environment Variable values
- Vercel Docs: Sensitive Environment Variables
- Vercel Security Bulletin: April 2026 security incident
- Vercel Docs: Environment variables
- OWASP Cheat Sheet: Logging
- GitHub Docs: Secrets reference
- Vercel Community: Integration variables and Sensitive mode