Vercel маскирует секреты в build-логах: [REDACTED] — лишь страховка
С 9 июля Vercel заменяет на REDACTED значения Sensitive длиной от 32 символов в build-логах. Activity Log хранит ключ, проект и deployment, но не значение.
Что изменилось
С 9 июля Vercel заменяет на REDACTED значения Sensitive длиной от 32 символов в build-логах. Activity Log хранит ключ, проект и deployment, но не значение.
Границы
Не считайте защищёнными короткие токены, преобразованные формы и downstream-копии. Sensitive доступен только в Preview и Production, существующую переменную нужно пересоздать.
Операционная модель
Разделите public config, internal config и credentials. Передавайте секрет только нужной фазе и проверяйте Actions, Log Drains, артефакты и тикеты canary-значениями.
Сигнал сообщества
Обсуждения интеграций показывают, что security-семантика может потеряться на границе систем. Проверяйте синхронизацию, drift и rotation.
Чек-лист
✓Инвентаризировать credentials и owners.
✓Ротировать и пересоздать значения.
✓Тестировать короткие и преобразованные формы.
✓После утечки отзывать и ротировать.
Источники
- Vercel Changelog: Build logs now redact Sensitive Environment Variable values
- Vercel Docs: Sensitive Environment Variables
- Vercel Security Bulletin: April 2026 security incident
- Vercel Docs: Environment variables
- OWASP Cheat Sheet: Logging
- GitHub Docs: Secrets reference
- Vercel Community: Integration variables and Sensitive mode