Vercel маскирует секреты в build-логах: [REDACTED] — лишь страховка

Tech

С 9 июля Vercel заменяет на REDACTED значения Sensitive длиной от 32 символов в build-логах. Activity Log хранит ключ, проект и deployment, но не значение.

Vercel маскирует секреты в build-логах: [REDACTED] — лишь страховка
Практический разбор редактирования Sensitive Environment Variables, его границ, тестирования и ротации секретов деплоя.

Что изменилось

С 9 июля Vercel заменяет на REDACTED значения Sensitive длиной от 32 символов в build-логах. Activity Log хранит ключ, проект и deployment, но не значение.

Границы

Не считайте защищёнными короткие токены, преобразованные формы и downstream-копии. Sensitive доступен только в Preview и Production, существующую переменную нужно пересоздать.

Операционная модель

Разделите public config, internal config и credentials. Передавайте секрет только нужной фазе и проверяйте Actions, Log Drains, артефакты и тикеты canary-значениями.

Сигнал сообщества

Обсуждения интеграций показывают, что security-семантика может потеряться на границе систем. Проверяйте синхронизацию, drift и rotation.

Чек-лист

Инвентаризировать credentials и owners.

Ротировать и пересоздать значения.

Тестировать короткие и преобразованные формы.

После утечки отзывать и ротировать.

Источники

다른 글