Как спроектировать secret management на Go?

Варианты: HashiCorp Vault, AWS Secrets Manager, sealed secrets в K8s. Приложение: при старте запрашивает секреты по path, кеширует в памяти. Rotation: Vault dynamic secrets (DB credentials с TTL). Go: vault client library, environment variables для bootstrap token. Никогда не в git, не в Docker image, не в env файлах на сервере. Audit log доступа к секретам.