Как использовать переменные окружения в API тестировании безопасно?

Sensitive данные (токены, пароли, ключи API) никогда не хардкодим в тестах или Postman коллекциях. Postman: Initial Value vs Current Value — initial value синкается в cloud, current — только локально. Для secrets используем Current Value. В CI: переменные из secrets (GitHub Secrets, GitLab CI Variables, HashiCorp Vault). В коде: os.environ["API_KEY"], не "hardcoded_value". .env файлы в .gitignore. Ротация credentials: тесты должны легко переключаться на новые токены.