Come gestite i segreti nelle applicazioni (API keys, password)?

Domanda un po' di base ma importante. Sto sviluppando alcune applicazioni web personali e mi trovo a gestire API keys, credenziali DB, token OAuth. File .env nel git (sbagliato lo so), variabili d'ambiente, Vault di HashiCorp, Secret Manager di cloud provider. Qual è il vostro approccio? Soprattutto per progetti piccoli/medi dove HashiCorp Vault sembra overkill ma il .env in chiaro in produzione non va bene.