Поместите секретный ключ в конфигурацию конфигурации, которая привязана к репо. Это удобно для разработчиков, потому что им не нужно создавать одно для запуска приложения. В производстве используйте конфигурацию производства (которая никогда не привязана к репо) с уникальным секретным ключом. Конфигурация производства должна переопределять конфигурацию разработки.
app = Flask(__name__, instance_relative_config=True)
# default value during development
app.secret_key = 'dev'
# overridden if this file exists in the instance folder
app.config.from_pyfile('config.py', silent=True)
Если у вас нет способа добавить личные файлы в производство, например, на Heroku, другой вариант - использовать переменные среды. Если переменная установлена, она переопределяет значение по умолчанию.
app.secret_key = os.environ.get('SECRET_KEY', 'dev')