Este sitio dice que es mejor mantener las claves API en la variable de entorno fuera del código. Y aquí
Almacenamiento de credenciales de forma segura
Debe tener mucho cuidado para asegurarse de que sus credenciales se almacenen de forma segura. Si alguien obtiene su api_key o access_token con el envío o todos los permisos, podrá enviar todos los bitcoins de su cuenta.
En particular, debe evitar almacenar estas credenciales en su base de código (que se agrega al control de versiones) o en su base de datos a menos que las haya cifrado de forma segura. Separar las credenciales de su base de código y su base de datos es una buena práctica.
El acceso a la clave API está desactivado de forma predeterminada en todas las cuentas. Por lo tanto, si decide realizar una integración de clave API, primero deberá habilitarla y seguir los pasos necesarios para almacenarla de forma segura. Siempre puedes regenerar tu clave API (o deshabilitarla) si crees que se ha comprometido.
Sin embargo, siempre que un programa falla, a menudo envía el entorno como parte del informe de bloqueo:
Variables de entorno: ...
Entonces ... ¿cuál es? No veo por qué almacenar claves en el entorno es más seguro que el código fuente. Si alguien llega al sistema, tiene acceso a ambos.