Как управлять секретами в CI/CD (Vault, GitHub Secrets, KMS)?

Секреты (пароли, ключи) не хранят в открытом виде в репозитории. Используют: HashiCorp Vault — централизованное хранилище с разграничением доступа, GitHub/GitLab Secrets — зашифрованные переменные, доступные только в пайплайне, или облачные KMS (AWS/GCP) для шифрования данных. CI-система передаёт секреты в окружение сборки без отображения их в логах.