Самая большая опасность в том, кто имеет доступ к управлению исходным кодом.Если разработчикам, имеющим доступ к элементу управления источником, уже разрешено иметь доступ к ключам, то нет дополнительного риска , пока контроль источника заблокирован, так что только авторизованные пользователи имеют доступ .
Если вы разрешите анонимный доступ для чтения к хранилищу, тогда кто-то другой может получить ваши ключи, что может быть полезно для выделенного злоумышленника.Возможно, они будут знать, как сделать с этим что-то, о чем мы не подумаем.
Никогда не стоит недооценивать изобретательность того, у кого есть навык, отсутствие скрупулезности и мотивация легкой зарплаты.
Лично я бы их не ставилв исходном контроле.Я защищал бы их, как будто они были моим собственным SSN и банковской информацией.
Даже если ваш репо сейчас сильно закрыт, вы не знаете, что изменится в будущем.Для будущего разработчика было бы слишком легко начать сотрудничество с внешним поставщиком, например, и предоставить доступ только для чтения, не думая, что они предоставляют такую конфиденциальную информацию.