Olha, eu uso um arquivo .env, coloco ele no .gitignore como o sluki falou, e utilizo como váriavel de ambiente na vercel, onde normalmente subo os meus projetos em React. Não sei ao certo se é a forma correta de fazer mas eu vi em alguma video aula.
Em resposta a Como proteger minha chave de API?
1