Segurança Secrets: use GitHub Environments (staging/prod) e não commit em plaintext. Dependabot: ativa para GitHub Actions e Python. CodeQL: varredura semanal. Política de vulnerabilidades: issues com label security e SLA de 7 dias.