Quando abbiamo a che fare con dati sensibili, è bene che questi non vengano mostrati in alcun modo, anche all'interno dei log dei nostri workflow. Per questo motivo, GitHub ci mette a disposizione la possibilità di mascherare questi dati, in modo che non vengano mostrati in alcun modo, così come già avviene quando proviamo a mostrare il valore di una secret.

Per fare ciò, basta aggiungere il comando di masking all'interno del nostro workflow:

steps:
- name: Add Mask
  run: echo "::add-mask::verySecretToken"
- name: echo a secret  
  run: echo "We should be hiding the value verySecretToken"

In questo modo, il valore della stringa "verySecretToken" non verrà mostrato all'interno dei log del workflow. Infatti, quando il workflow sarà in esecuzione, ogni qualvolta verrà eseguito il comando echo, il valore della stringa indicata dalla maschera verrà sostituito con i caratteri ***.

Chiaramente questo è un approccio molto semplice e non sempre utile. Infatti, anche chi ha accesso al repository può comunque vedere il codice YAML del workflow e vedere cosa c'è al di sotto di quella maschera. Per questo motivo è infatti utile per nascondere oggetti su file di testo, mentre per i dati veramente sensibili è sempre meglio far riferimento alle secret.