501 B
501 B
Security Policy
Gate de seguridad (obligatorio)
Cada feature debe tener work/artifacts/<feature_id>/security.json con:
verdict: APPROVED | CHANGES_REQUESTEDchecks: secretos, dependencias, SAST básico, validación de inputsfindings: lista de hallazgos con severidad
Reglas
- Si hay hallazgos críticos/altos sin mitigación:
CHANGES_REQUESTED. - No se permite exponer credenciales ni secretos en repo/chat.
- Dependencias nuevas requieren justificación en
spec/tech.md.