Comprendo que es una mala práctica agregar contraseñas y tokens secretos al control de código fuente, con las implicaciones obvias que surgen si está trabajando en un proyecto de código abierto o relacionado. Más bien, debe almacenarlas como variables de entorno.
Sin embargo, ¿es legítimo agregar un archivo de clave PEM privado encriptado al control de origen para un proyecto de código abierto, y solo mantener la contraseña de descifrado como una variable de entorno? ¿O debería almacenar todo el contenido del PEM como variable de entorno?