e é por isso que gitignore seguro deve ser criado na inicialização do repositório, pq uma vez enviado... é isso mesmo, vai ficar no histórico.
o github e outras ferramentas tem cofres de senha que em pipelinez de ci/cd substituiem a necessidade do .env.
outros sistemas de automação tem suas particularidades.