Vercel oscura i segreti nei log di build: [REDACTED] è solo una protezione
Dal 9 luglio Vercel sostituisce con REDACTED i valori Sensitive di almeno 32 caratteri nei log di build. Activity Log registra chiave, progetto e deployment, non il valore.
Cosa cambia
Dal 9 luglio Vercel sostituisce con REDACTED i valori Sensitive di almeno 32 caratteri nei log di build. Activity Log registra chiave, progetto e deployment, non il valore.
Limiti
Non presumere copertura per token brevi, forme trasformate o copie downstream. Sensitive vale solo per Preview e Production e una variabile esistente deve essere ricreata.
Modello operativo
Separa config pubblica, interna e credenziali. Inietta ogni secret solo nella fase necessaria e testa Actions, Log Drains, artefatti e ticket con canary.
Segnale community
Le discussioni sulle integrazioni mostrano che una proprietà di sicurezza può perdersi tra sistemi. Verifica sincronizzazione, drift e rotazione.
Checklist
✓Inventariare credenziali e owner.
✓Ruotare e ricreare i valori.
✓Testare forme brevi e trasformate.
✓Revocare e ruotare dopo esposizione.
Fonti
- Vercel Changelog: Build logs now redact Sensitive Environment Variable values
- Vercel Docs: Sensitive Environment Variables
- Vercel Security Bulletin: April 2026 security incident
- Vercel Docs: Environment variables
- OWASP Cheat Sheet: Logging
- GitHub Docs: Secrets reference
- Vercel Community: Integration variables and Sensitive mode