Безопасность разработки — гигиена секретов (Тир-1)
- Защита от утечки секретов в репозиторий: перед коммитом и в CI теперь работают сканеры (gitleaks, detect-secrets), а зависимости проверяются на известные уязвимости (pip-audit). Полная история проекта (505 коммитов) просканирована — секретов нет, в зависимостях 0 известных CVE.
- Добавлены
SECURITY.md(как сообщить об уязвимости + план действий при утечке), правила безопасной работы для AI-ассистента вCLAUDE.md, ужесточён.gitignore(ключи, сертификаты, конфиги агентов). - Технический фикс: два места с MD5 (кэш-бастинг статики и ключ advisory-lock) помечены как некриптографические — снято ложное предупреждение анализатора.
- Назначение: повышает доверие к продукту при аудите поставщика ПО (требования GMP / Annex 11) и формализует безопасный процесс разработки.