Se você está escrevendo senhas em arquivos de configuração, é certamente mais fácil deixar essas senhas ao verificar os arquivos de configuração no controle de revisão. Fazer isso certamente não é menos seguro do que apenas tê-los no arquivo de configuração para começar, desde que o controle de acesso apropriado seja aplicado ao repositório (as duas permissões no repositório e as permissões do sistema de arquivos no repositório para seu backend). ). As senhas armazenadas assim são certamente vulneráveis, mas muitas vezes você não tem escolha.
Sempre que você estiver armazenando senhas, é melhor garantir que elas sejam criptografadas e o acesso ao banco de dados de senhas criptografadas seja limitado. Eu normalmente não usaria um sistema de controle de revisão para isso, pois ele tem um pouco de sobrecarga e complexidade que realmente serve apenas para aumentar sua superfície de ataque.
Muitas pessoas armazenam senhas administrativas em planilhas e na documentação. Não seja como essas pessoas, a menos que você goste de ficar constrangido com os pentesters.
A melhor solução é usar software que criptografa as senhas, armazenando-as em um sistema off-line, se possível. Muitos e muitos softwares existem para isso (e alguns deles podem ativamente mudar as senhas para você, conforme necessário, e manter registros de senhas históricas). A Hitachi ID Systems faz um produto de nível empresarial para isso (divulgação: eu costumava trabalhar para eles); keepass e lastpass também vêm à mente.