Adaptation de ed209 (52) — ULK → Hermes. Carte :
docs/backlog/2026-06-28-SPEC-HERMES-SECURITY-AUDIT/CARD.md (P2, GitHub #265).
Audit sécurité OWASP Top 10 + secrets exposés + auth + dépendances vulnérables. Skill la plus
coûteuse : scope restreint par défaut (PR diff / fichiers désignés), invocation explicite,
politique no-autofix.
Runtime & modèles
DeepSeek V4 full : raisonnement sécurité profond, détection de patterns subtils
(injection indirecte, IDOR logique). Tier ULK opus → DeepSeek full — ne pas sous-doser
l'effort de raisonnement, la détection chute sinon.
Pas de délégation coding : politique no-autofix stricte. La skill émet des findings ;
aucun correctif appliqué sans validation manuelle explicite → aucune écriture de code.
Vault
rapport → <vault>/logs/security-audit/ horodaté + SHA du commit audité (idempotent sur SHA).