У тебя должно быть ровно одно место для декларации конфига, его типа и дефолтного значения. И это место может быть  ямл файл, а не код. Получается что ямл это аналог dsl и является частью кода.

devops'у не надо лезть в код искать какой то параметр, его дефолтное значение и прочее. Ему достаточно открыть один конфиг файл. В этом же yamlе могут быть и комментарии.
Если нужно сделать параметр, для которого нет универсального значения, и которое нужно обязательно определять, то можешь его поменить строкой определенной.
И во время сборки (всмысле кнопки в CI, а не docker build) проверять (ну да, надо чекер написать из пяти строк) конфиг. И если девосп забудет (или ему забудут сказать) определить этот параметр, то об этом девопс узнает до момента начала деплоя.

А еще, иногда, конфиги меняют QAщики. Напримрер через конфиг можно включать/выключать какие то фичи. И для QAщики поменять конфиг, а не код, это меньший стресс и вероятность ошибок меньше (но тут надо не забыть объяснить QAщику разницу между табами и пробелами и выключить автоматическую конверсию).

А если учесть, что благодаря куберу и не только ему, конфиги так и так лежать в yamlе, то вообще нет ни одного резона использовать переменные окружения.
Хранить секреты в волте и передавать их только через переменные окружения (чтобы враг их не узнал), это прям секрет полишинеля. Получить доступ к переменным окружения не сложнее, чем к файлу..

Да, секреты через ENV-ы лучше не передавать. Не известно через какие логи эти ENV-ы потом могут утечь. Даже если не из твоего приложения, то через приложение, которое ты запускаешь как subprocess

вот интересное, можно обсудить

GitHub документировал механизм блокировки всей сети форков
Компания GitHub внесла изменения в правила обработки жалоб, ссылающихся на нарушение действующего в США Закона об авторском праве в цифровую эпоху (DMCA). Изменения касаются блокировки форков и определяют возможность автоматического блокирования всех форков репозитория, в котором подтверждено нарушение чужой интеллектуальной собственности.

интересно после какого подобного шага люди начнут разбегаться.
наверно появится куда убегать.

если только на машине времени в прошлое

ну вообще это "прильно". Только тут что считать форком. ФОрк может сильно уйти от оригинала и уже не содержать нарушений..

а они пробрасываются в subprocess по дефолту? просто емнип там примерно 100500 видов exec и все они по-разному с енвами поступают

С другой стороны сейчас как раз эра всяких океанских островов, которые могут задекларировать что они никогда и не по какому поводу не будут блокировать трафик.
Пусть будет бухта как для пиратов и нарушителей, так и тех кто просто хочет уменьшить риски от различных аттак.
В том числе пусть будет git который никого и никогда не будет банить..

Ну вроде как по дефолту все ENV-ы наследуются от родительского процесса. Можно их переопределить при запуске процесса. Но кто этим будет заморачиваться?

какие-то миллионы людей якобы свалили из вацапа в телегу, и это не выглядит как прыжок в прошлое

у нас рабочие чаты были в ватсапе.. и мы свалили.. слава богу..

а телега это прям терриотрия свободы, где никакую флибусту никогда не заблокируют или канал с чьими-то личными данными в паблике

флибуста доступна с компа, но не доступна с могильников...

эм, флибуста бот уже раза 3 переезжал)

свобода в современном мире - вещь условная.
есть только что-то что кажется более/менее свободным.
кому-то и вконтакт до сих пор норм

и дуров говорит что они каждый день сотни исламских чатов банят, за терроризм.

Дело же не только в свободе. Телега с клиентом десятки мегабайт анальных зондов от фейсбука не тащит хотя бы. Тупо меньше ресурсов ест за счёт этого.
Хотя говнище типа «Вася Пупкин теперь в телеграм» есть и тут.

на айфонах там вообще куча ботов с пиратским контентом не доступна

сарказм это сложно 😄