Наш собственный опыт включения файла publish.xml в управление исходным кодом заключается в том, что пароль не хранится в виде обычного текста, но другой пользователь может использовать этот файл для публикации в учетной записи ftp, поэтому, предположительно, любой ключ используется для шифрования /закодировать пароль можно где-нибудь.
Еще одна вещь, которую мы заметили, это то, что если вы попытаетесь опубликовать проект без извлечения файла publish.xml, это вызовет всевозможные проблемы, вплоть довизуальную студию повесить, хотя мы еще не проводили дальнейших исследований в этом направлении.