Прячем пароль в репозитории 

Есть Ваше приложение, сервис,  которое использует логин и пароль сохранённый в файле конфига. Этот исходный код или конфиг находится в репозитории. Чтобы избежать утечки этого логина и пароля, от копирования репы. Мы используем Vault, где вместо логина и пароля прописан токен. Зная свежий токен и доступ  по сети к Vault серверу приложение получить тот логин и пароль.  Доступ по сети к Vault  имеет ограниченные сервера. Токен записанный в репозитории периодически обновляется на новый, например при доступе к нему.
Так же у нас появляются новые возможности, шифрованного хранилища Vault защищает от копирования средствами ВМ.  Доступ к распечатыванию хранилища  и генерации root ключей могут получить только сообща несколько админов, введя каждый свой ключ, так как используется алгоритм Шамира. Это нам дает, при правильной настройке и не разглашении root токенов,  защиту секретов  от одного админа. Еще если у нас много серверов, где используется один логин и пароль, мы можем его менять только в Vault не залезая в репозитории.

Скрыть пароль в переменных хоста Zabbix

Еще вариант использования Vault, скрыть пароли в переменных хоста Zabbix
тут мы сохраняем токен в конфиг zabbix_server.conf, а в макросах хоста указываем только путь к секрету.