Seguridad como proof of work: por qué el compliance no salva a nadie

Pasé semanas configurando SPF, DKIM, DMARC, Dependabot y Snyk. Y de todos modos alguien me aprobó una PR con una API key en texto plano. El problema no es que la seguridad sea difícil — es que se volvió una carrera de señalización.