Понятно, что можно запретить попадание конфига в git через .gitignore. Но ошибок и опечаток никто не отменял, поэтому лучше было бы в принципе не держать пароль в каталоге, находящемся под контролем git.

Если действительно заботитесь о сесурити, то vault

+ за vault

Но для бедных хватит и encrypted secrets

Хранить в env

Всмысле, в линуксовых переменных окружения

Очень часто пароль теряется, и лучше хранить в системе контроля версий его, чтобы - если что - посмотреть какой был пароль до этого. А использование файла креденшиал считаю неуместным - для того, чтобы быстро посмотреть пароль лучше всего зайти в репозиторий и его там увидеть. Тем более в rails для этого есть подходящий файл database.yml. Лучше там всё и хранить.

Толсто

Да, подходит

Я храню в .env

а .env - в сорс контроле :D

зачем запрещать, не запрещай! Давай свободу своему детищу, пусть сам решает, что хорошо, а что плохо) просто будь рядом и поддерживай его :) думаю, в один момент каждому предстоит потерять свой пароль в каталоге под контролем git, и это лишь вопрос времени)

Вопрос немного не об этом, а о том, как сделать, чтобы потом не заморачиваться и не изобретать велосипедов. Можно, например, сделать файл в /usr/local/bin, где будет устанавливаться переменная и запускаться приложение, проблема в том, что файла естественно не будет в git, а там могут со временем появиться какие-то изменения (пусть даже один какой-то параметр поменяется), которые не найдут отражения в git и, если потом потребуется установить приложение на другом хостинге, придётся вспоминать или смотреть, как было сделано. Пусть это мелочь, но хочется облегчить себе жизнь и сделать красиво, чтобы в git было практически всё — кроме, понятное дело, паролей. И вопрос в том, как их в таких случаях принято хранить. Собственно способ с IO.read решил бы задачу, но помню, что читал про другие варианты (кажется как раз про .env).

https://github.com/bkeepers/dotenv  и кладёшь в репозитоий .env.example чтобы знать какие нужно определять

а чем это отличается от "положить в репозиторий database.yml.example"?

Ну изначально был вопрос про пароли.

Отличается количеством действий, которые нужно совершить при установке и обновлении. database.yml.example нужно скопировать в database.yml и отредактировать. А если там всё одинаково на сервере и на тестовой виртуальной машине, и только пароль отличается (и лежит в каком-то определённом месте), то не надо тратить на это время.

с .env.example тоже надо скопировать и отредактировать

Если он там из ENV достается (а так и должен) то норм