Complementando a resposta do @gabrielTepes ...
você tem que colocar no seu .gitignore a linha .env
, assim você não envia pro git seu arquivo com suas senhas.
geralmente voce cria um .env.example
e esse você versiona, assim quem clonar seu repositório sabe quais são as variáveis que ele tem que preencher para o programa funcionar.
dai esse ser humano renomeia de .env.examplo, preenche suas proprias informações e essas bibliotecas cuidam de ler esse arquivo e disponibilizar essas informações