Проект находится в активной разработке. Пока нет стабильных релизов. Используйте на свой страх и риск.

Если вы нашли уязвимость безопасности:

1. НЕ создавайте публичный issue — это может привлечь внимание к проблеме
2. Напишите нам на email или создайте приватный security advisory
3. Укажите:
   • Описание уязвимости
   • Шаги воспроизведения
   • Потенциальный impact
   • (опционально) Предлагаемое решение

Мы ответим в течение 7 дней.

• Пароли хэшируются через SHA-256 с солью. В будущем планируется переход на bcrypt/argon2
• Session tokens используют HMAC. Для production рекомендуется задавать SESSION_SECRET через переменную окружения
• Redis работает без пароля в Docker Compose — это нормально для разработки, но не для production