Vercel が build log の secret をマスク:[REDACTED] は境界ではなく安全網
7月9日から Vercel は、32文字以上の Sensitive 値を build log で REDACTED に置き換える。Activity Log には key、project、deployment が残るが値は残らない。
変更点
7月9日から Vercel は、32文字以上の Sensitive 値を build log で REDACTED に置き換える。Activity Log には key、project、deployment が残るが値は残らない。
保証の境界
短い token、変換後の値、downstream の複製まで保護されるとは限らない。Sensitive は Preview と Production のみで、既存変数は削除して再作成する必要がある。
運用モデル
public config、internal config、credential を分け、必要な phase だけに secret を注入する。Actions、Log Drains、artifact、support ticket まで canary で確認する。
Community signal
secret manager integration の community 質問は、system 境界で security 属性が失われ得ることを示す signal だ。同期と rotation を実測する。
チェックリスト
✓credential と owner を棚卸しする。
✓非 Sensitive 値を rotation・再作成する。
✓短い値と変換値をテストする。
✓露出時は revoke と rotation を行う。
Sources
- Vercel Changelog: Build logs now redact Sensitive Environment Variable values
- Vercel Docs: Sensitive Environment Variables
- Vercel Security Bulletin: April 2026 security incident
- Vercel Docs: Environment variables
- OWASP Cheat Sheet: Logging
- GitHub Docs: Secrets reference
- Vercel Community: Integration variables and Sensitive mode