Vercel oculta segredos nos logs de build: [REDACTED] é só uma proteção
Desde 9 de julho, a Vercel troca por REDACTED valores Sensitive com 32 caracteres ou mais nos logs de build. O Activity Log guarda chave, projeto e deployment, nunca o valor.
O que mudou
Desde 9 de julho, a Vercel troca por REDACTED valores Sensitive com 32 caracteres ou mais nos logs de build. O Activity Log guarda chave, projeto e deployment, nunca o valor.
Limites
Não presuma cobertura para tokens curtos, valores transformados ou cópias downstream. Sensitive só vale em Preview e Production, e uma variável existente precisa ser recriada.
Modelo operacional
Separe configuração pública, interna e credenciais. Injete cada secret apenas na fase necessária e teste Actions, Log Drains, artefatos e tickets com canários.
Sinal da comunidade
Discussões sobre integrações mostram que a propriedade de segurança pode se perder entre sistemas. Verifique sincronização, drift e rotação.
Checklist
✓Inventariar credenciais e responsáveis.
✓Rotacionar e recriar valores.
✓Testar formas curtas e transformadas.
✓Revogar e rotacionar após exposição.
Fontes
- Vercel Changelog: Build logs now redact Sensitive Environment Variable values
- Vercel Docs: Sensitive Environment Variables
- Vercel Security Bulletin: April 2026 security incident
- Vercel Docs: Environment variables
- OWASP Cheat Sheet: Logging
- GitHub Docs: Secrets reference
- Vercel Community: Integration variables and Sensitive mode