Как безопасно хранить enviroment переменные в docker?

Добрый вечер, скажу сразу я начинающий, изучаю на данный момент докер. Когда пишу docker-compose файл , иногда есть потребность указать юзера/пароль(к примеру рутовый юзер/пароль mysql). Заливать в открытом виде такой файл например на гитхаб, максильмано не безопасно. Отсюда вопрос, как(или где) хранить такие переменные и как их передавать в docker-compose файл? Есть ли какой то механизм как ansible vault в ansible?