компрометация секретов возможна только в случае доступа непосредственно к месту использования с рутовыми правами.
Имхо с правами пользователя, от которого запускается приложение. Как пример, приложение запускается от пользователя nginx и файл внезапно становится доступным из браузера.
Как донести секреты до dev-тачки и не пролить?