Vercel 开始遮蔽构建日志中的密钥:[REDACTED] 只是护栏
Tech
从 7 月 9 日起,Vercel 会把构建日志中长度至少 32 个字符的 Sensitive 值替换为 REDACTED。Activity Log 记录 key、项目和 deployment,但不记录值。
变化内容
从 7 月 9 日起,Vercel 会把构建日志中长度至少 32 个字符的 Sensitive 值替换为 REDACTED。Activity Log 记录 key、项目和 deployment,但不记录值。
保证边界
不要假设短 token、变形后的值或下游副本也会被遮蔽。Sensitive 仅适用于 Preview 和 Production,现有普通变量需要删除后重新创建。
运维模型
区分 public config、internal config 和 credential,只向需要的阶段注入密钥,并用 canary 检查 Actions、Log Drains、artifact 与支持工单。
社区信号
关于 secret manager integration 的社区讨论说明安全属性可能在系统边界丢失,应验证同步、drift 与轮换。
检查清单
✓盘点 credential 与 owner。
✓轮换并重新创建非 Sensitive 值。
✓测试短值与变形值。
✓发现暴露后立即 revoke 与轮换。
来源
- Vercel Changelog: Build logs now redact Sensitive Environment Variable values
- Vercel Docs: Sensitive Environment Variables
- Vercel Security Bulletin: April 2026 security incident
- Vercel Docs: Environment variables
- OWASP Cheat Sheet: Logging
- GitHub Docs: Secrets reference
- Vercel Community: Integration variables and Sensitive mode