# AGENTS

Ce dépôt utilise des agents (Cursor/4NK) pour appliquer les bonnes pratiques.

## Sécurité (vigilance)

- Exécuter l'audit: `scripts/security/audit.sh` (npm audit, scan de secrets).
- Aucun secret en clair dans le dépôt; secrets via CI/variables d'environnement, rotation exigée.
- Vérifier permissions des fichiers sensibles et non-exposition d'endpoints privés.
- Si une CI est ajoutée, inclure un job `security-audit` et bloquer la release en cas d'échec.