Vercel ปิดบัง secret ใน build log: [REDACTED] เป็นเพียง guardrail
ตั้งแต่ 9 กรกฎาคม Vercel แทนค่า Sensitive ที่ยาวตั้งแต่ 32 ตัวอักษรด้วย REDACTED ใน build log ส่วน Activity Log เก็บ key, project และ deployment แต่ไม่เก็บค่า
สิ่งที่เปลี่ยน
ตั้งแต่ 9 กรกฎาคม Vercel แทนค่า Sensitive ที่ยาวตั้งแต่ 32 ตัวอักษรด้วย REDACTED ใน build log ส่วน Activity Log เก็บ key, project และ deployment แต่ไม่เก็บค่า
ขอบเขต
อย่าคิดว่า token สั้น ค่าที่แปลงรูป หรือสำเนา downstream ถูกป้องกันอัตโนมัติ Sensitive ใช้ได้เฉพาะ Preview และ Production และตัวแปรเดิมต้องสร้างใหม่
โมเดลปฏิบัติการ
แยก public config, internal config และ credential แล้ว inject secret เฉพาะ phase ที่ต้องใช้ ทดสอบ Actions, Log Drains, artifact และ ticket ด้วย canary
สัญญาณจากชุมชน
คำถามใน community เรื่อง integration ชี้ว่า security label อาจหายเมื่อข้ามระบบ จึงต้องตรวจ synchronization, drift และ rotation
เช็กลิสต์
✓ทำ inventory credential และ owner
✓rotate แล้วสร้างใหม่เป็น Sensitive
✓ทดสอบค่าที่สั้นและแปลงรูป
✓เมื่อพบการรั่วให้ revoke และ rotate
แหล่งข้อมูล
- Vercel Changelog: Build logs now redact Sensitive Environment Variable values
- Vercel Docs: Sensitive Environment Variables
- Vercel Security Bulletin: April 2026 security incident
- Vercel Docs: Environment variables
- OWASP Cheat Sheet: Logging
- GitHub Docs: Secrets reference
- Vercel Community: Integration variables and Sensitive mode