Zapewne chodzi o Secret Manager, ale nie powiem jak to działa bo nie znam tematu.
Ja osobiście hasła przechowuje w managerze haseł lokalnie, na serwerze docelowym tworzę po prostu plik .env lub cokolwiek dana aplikacja wymaga i linkuje do niego w czasie deployu. Deploye robię automatycznie np. za pomocą deployer.org , więc można tam to łatwo ogarnąć. W repo przechowuje .dist danego pliku i/lub ustawienia developerskie do dockerów. W zasadzie wymaga to jednorazowego stworzenia pliku na serwerze, a potem już automat się o wszystko troszczy i tak jak piszesz nie trzeba przechowywać haseł produkcyjnych w repo. Jakbyś chciał to zautomatyzować to ewentualnie można deployera czy inne narzędzie nadpisać aby dla danego środowiska tworzył wszystkie pliki w locie, ale to już trzeba dostosować pod strategię deployowania.