Ведь часть исходного кода порой можно глянуть сторонними инструментами.
Если это бэкенд, то какими ещё инструментами можно глянуть без прямого доступа к исходному коду и файловой системе сервера, где это запускается?
А так из вариантов, как убрать его из исходников - прокидывать как параметр в конфиге или в переменных среды.
Или использовать какое-нибудь секурное хранилище.
Например
Vault или Azure Key Vault.
