Capisco che sia una cattiva pratica aggiungere password e token segreti al controllo del codice sorgente, con ovvie implicazioni derivanti dal lavoro su un progetto open source o correlato. Piuttosto, dovresti memorizzarli come variabili di ambiente.
Tuttavia, è legittimo aggiungere un file di chiave PEM privato crittografato al controllo del codice sorgente per un progetto open source e mantenere solo la password di decrittografia come variabile di ambiente? O dovrei memorizzare l'intero contenuto del PEM come variabile d'ambiente?