pipeline as code已经成为devops的趋势，结合ansible的话，hosts有没有一种比较好的管理策略？

pipeline as code已经成为devops的趋势，结合ansible的话，在代码中会保存下部署环境的配置及各种playbook流程，对于inventory，作为ansible执行的主机配置，如果也放在代码里，会让应用的安全受到威胁。
有没有一种比较好的hosts的管理策略，来管理这种pipeline as code的情况。
目前我想到的是cmdb中统一管理，再或者在部署服务器上，预先配置好hosts文件，而代码中不作设置。还有没有其它更好的方式呢？
谢谢。