Penso che quello che devi chiederti è:
If the key gets compromised, can I detect it?
e
How does the revoking process affect other people?
Ad esempio: cosa succede se il repository di controllo del codice sorgente interno viene prelevato al di fuori del perimetro aziendale, ad es. tramite il laptop di uno sviluppatore? Cosa succede se questo laptop viene rubato? Che cosa succede se si tratta di un dipendente insoddisfatto che ne fa una copia e la tiene sul proprio laptop personale?
In altre parole, la chiave può essere utilizzata per accedere a una risorsa pubblica e, in caso affermativo, qual è il danno?
Se le tue pratiche di sviluppo richiedono la condivisione di una chiave privata, allora non è una chiave privata per definizione. Potresti voler pensare al motivo per cui ciò sta accadendo e se devi considerare il token di accesso per utente (ad esempio oAuth, una chiave API) o altre soluzioni.