Как работать с тестовыми секретами в CI?

Секреты в CI: API ключи, пароли, токены. Никогда: в коде, в логах, в артефактах. GitHub Secrets: зашифрованные переменные, видны только в контексте CI. GitLab CI Variables: protected (только protected branches) + masked (не в логах). HashiCorp Vault для сложных сценариев. В тестах: os.environ["API_KEY"] или pytest fixtures. Ротация: секреты периодически меняем, тесты должны легко подхватить новые. Минимальные права: test-пользователь имеет только нужные права, не admin.