Где безопаснее хранить секреты (пароли БД, API-ключи) в Go-приложении? - Безопасность

A В конфиг-файле в репозитории

B В переменных окружения или секрет-менеджере, не в коде и не в репозитории

C В константах в коде

D В отдельном конфиге в той же папке, что и бинарник

Объяснение вопроса

Секреты (пароли БД, API-ключи, ключи подписи JWT) не должны храниться в исходном коде и в системе контроля версий.

Безопасный подход - передавать секреты через переменные окружения (os.Getenv("DB_PASSWORD")) или через секрет-менеджер (HashiCorp Vault, Kubernetes Secrets, AWS Secrets Manager).

dbPass := os.Getenv("DB_PASSWORD")
if dbPass == "" {
    log.Fatal("DB_PASSWORD is not set")
}

Для локальной разработки используют .env файлы, которые должны быть в .gitignore.