Мы используем файл .env для производственных служб в нашей компании, и при профилировании выполнения кода накладных расходов не много. Хотя это нормально в нашей среде, это может быть не в вашей.
Я вполне уверен, что он достаточно безопасен, чтобы использовать компонент dotenv для загрузки переменных из файла .env, поскольку он не предоставляет никакого интерфейса для взаимодействия с самим собой.
Мы также храним в этом файле переменные среды, специфичные для докера, так что в конечном итоге это похоже на старый файл конфигурации parameters.yaml для всего проекта.