当前仓库主要关注以下安全边界：

• 不在版本库中提交任何真实 API Key、云厂商密钥、数据库口令或私有域名映射。
• 不在 issue、pull request、测试样例或日志中提交真实医疗图片、OCR 文本或患者隐私数据。
• 所有公开示例必须使用占位值或脱敏后的演示数据。

如果你发现以下问题，请不要直接公开提交带敏感内容的 issue：

• 凭据泄漏
• 未脱敏的医疗数据
• 可导致任意文件读取、任意命令执行、鉴权绕过或敏感信息外泄的问题

建议通过私下渠道联系维护者，并至少提供：

• 问题影响范围
• 复现步骤
• 可能的日志片段或请求样例
• 是否已经包含敏感数据

• 使用 .env.example 作为模板，本地复制为 .env 后再填写真实值。
• .env、运行日志、测试输出和真实样本图片不应提交到 git。
• 如果某个凭据曾进入 git 历史，必须先轮换，再执行历史重写后再公开仓库。

• 请勿在公开讨论区粘贴未脱敏的病历、报告单、身份证号、手机号或地址信息。
• 新增测试样本时，优先使用合成数据或经完全脱敏后的样本。