Можно шифровать пароли или енв файл целиком и хранить в репозитории, а на инстансе хранить только секрет для расшифровки. Ну и этот секрет можно разок сфотографировать и положить в сейф, менять раз в год или с очередным ажиотажем в СМИ по поводу прогресса в квантовых вычислениях.
Можно пользоваться специальными хранилищами, особенно если пользуетесь облаками или контейнерами - и в кубернетесе и в опенщифте есть возможность хранить секреты.
Можно пользоваться сторонними сервисами, которые вообще управляют вашими паролями, сами их ротейтят, следят за тем кто и когда их запрашивает, типа киберарка.
Простой
