Vercel が build log の secret をマスク:[REDACTED] は境界ではなく安全網

Tech

7月9日から Vercel は、32文字以上の Sensitive 値を build log で REDACTED に置き換える。Activity Log には key、project、deployment が残るが値は残らない。

Vercel が build log の secret をマスク:[REDACTED] は境界ではなく安全網
Sensitive Environment Variables の redaction 条件と、分類・最小注入・検証・rotation を含む実務ガイド。

変更点

7月9日から Vercel は、32文字以上の Sensitive 値を build log で REDACTED に置き換える。Activity Log には key、project、deployment が残るが値は残らない。

保証の境界

短い token、変換後の値、downstream の複製まで保護されるとは限らない。Sensitive は Preview と Production のみで、既存変数は削除して再作成する必要がある。

運用モデル

public config、internal config、credential を分け、必要な phase だけに secret を注入する。Actions、Log Drains、artifact、support ticket まで canary で確認する。

Community signal

secret manager integration の community 質問は、system 境界で security 属性が失われ得ることを示す signal だ。同期と rotation を実測する。

チェックリスト

credential と owner を棚卸しする。

非 Sensitive 値を rotation・再作成する。

短い値と変換値をテストする。

露出時は revoke と rotation を行う。

Sources