secure-coding-checklistlisted

# secure-coding-checklist Checklist canónica para revisión de PRs que tocan módulos de seguridad de RegulAItor. ## Cuándo invocarme PR que toca cualquiera de estos archivos: - `src/regulaitor/security/injection.py` - `src/regulaitor/security/allowlist.py` - `src/regulaitor/security/pii.py` - `src/regulaitor/document/sanitizer.py` - `src/regulaitor/citation/validator.py` - `src/regulaitor/agents/auditor.py` - `redteam/` (reglas de evaluación adversarial) ## Checklist ### Pre-merge - [ ] `make redteam-smoke` verde localmente (block_rate smoke ≥ 0.90). - [ ] CI job `redteam-smoke` verde en el PR (automático si la rama lo tiene configurado). - [ ] Los cambios son SOLO additive (`if`/`elif` para nuevas categorías; no `else: do_something_different`; no eliminar checks existentes). - [ ] Si se añadió un pattern regex: cobertura ES + EN si aplica (la suite tiene ataques bilingües). - [ ] Si se modificó `sanitizer.py`: caso correspondiente añadido o actualizado en `tests/unit/test_sanitizer.py`. - [ ] Si se modificó `injection.py`: caso correspondiente añadido en `tests/unit/test_injection.py`. - [ ] Si se modificó `citation/validator.py`: caso correspondiente añadido en `tests/unit/citation/test_validator.py`. - [ ] Test unit cubriendo el caso fixed: el test falla ANTES del fix y pasa DESPUÉS (TDD intra-fix). - [ ] No se modificó arquitectura del Auditor (agregación lenient-strict). Eso es H15+. - [ ] No se modificó router de LLM ni prompts versionados sin bump de versión. - [