Как безопасно передавать секреты в Docker контейнеры?

Никогда не кладут секреты в Dockerfile или environment в docker-compose в открытом виде в git. Варианты: env файл вне репо (.env локально, не в git), Docker secrets (для Swarm), Kubernetes secrets, vault agent sidecar, AWS Secrets Manager с IAM ролью. При сборке образа секреты через BuildKit --secret не попадают в слои. Проверяй docker history на предмет случайных секретов в ENV слоях.