Questo sito dice che è meglio mantenere le chiavi API nella variabile d'ambiente fuori dal codice. E qui
Storing Credentials Securely
You should take great care to ensure your credentials are stored securely. If someone obtains your api_key or an access_token with the send or all permission, they will be able to send all the bitcoin out of your account.
In particular, you should avoid storing these credentials in your code base (which gets added to version control) or in your database unless you have encrypted them securely. Separating credentials from your code base and database is a good practice.
API key access is turned off by default on all accounts. So if you decide to do an API key integration, you will need to enable it first and take the necessary steps from then on to store it securely. You can always regenerate your API key (or disable it) if you feel it has been compromised.
Tuttavia, ogni volta che un programma si arresta, spesso invia l'ambiente come parte del rapporto sugli arresti anomali:
Environment Variables: ...
Quindi ... quale è? Non vedo perché la memorizzazione delle chiavi nell'ambiente sia più sicura del codice sorgente. Se qualcuno arriva al sistema, ha accesso a entrambi.