Как хранить секреты?

Никогда в коде или git. Варианты по возрастанию зрелости: environment variables (просто, но видны в /proc), .env файл вне репо (не забудь .gitignore), Docker secrets / Kubernetes secrets (base64, не шифрованы by default), HashiCorp Vault (шифрование, ротация, audit, dynamic secrets), cloud KMS (AWS Secrets Manager, GCP Secret Manager). Для production минимум: env variables + sealed secrets в K8s или Vault. В Go: os.Getenv("DB_PASSWORD"), или vault клиент. Никогда не логируй секреты, маскируй в error messages.