Как безопасно хранить и использовать секреты в Node.js?

Никогда не хардкодь секреты в коде. .env файл для локальной разработки — в .gitignore. Production: переменные окружения через docker secrets, k8s secrets, AWS Secrets Manager, HashiCorp Vault. Валидируй env при старте через zod — упадёшь сразу а не при первом запросе к БД. Ротация секретов: приложение должно поддерживать смену без перезапуска. Audit trail: кто и когда получал секрет. В логах: маскируй чувствительные данные — никогда не логируй пароли, токены, connection strings.