# Security Policy ## Gate de seguridad (obligatorio) Cada feature debe tener `work/artifacts//security.json` con: - `verdict`: APPROVED | CHANGES_REQUESTED - `checks`: secretos, dependencias, SAST básico, validación de inputs - `findings`: lista de hallazgos con severidad ## Reglas - Si hay hallazgos críticos/altos sin mitigación: `CHANGES_REQUESTED`. - No se permite exponer credenciales ni secretos en repo/chat. - Dependencias nuevas requieren justificación en `spec/tech.md`.