- fix(logger): usar php://stderr en vez de STDERR (rompía bajo SAPI web; 500 por
  request con LOG_CHANNEL=stderr bajo Apache/php-fpm). Cubierto por LoggerTest.
- deps(security): firebase/php-jwt 6 → 7.0.5 (cierra CVE-2025-45769).
- ci(security): composer audit bloqueante en CI y pre-push.

Ver CHANGELOG.md.