目前仓库开源的是一个可运行的新闻工作流原型。

请默认按下面的方式理解安全边界：

• 不要把公开演示环境当成真实新闻生产环境
• 不要在测试数据中使用真实采访材料、真实联系人信息或未公开线索
• 不要把真实 API Key、数据库密码、对象存储密钥提交到仓库

如果你发现的是安全问题，请不要直接公开提交 issue。

建议通过私下方式联系维护者，并尽量提供以下信息：

• 问题影响范围
• 复现步骤
• 可能造成的后果
• 你建议的修复方向

NewsFlow 涉及新闻生产、审批、来源保护和发布后勘误等流程，因此请特别注意以下内容：

• 不要上传真实来源保护数据
• 不要将生产数据库导出到公开仓库
• 不要把第三方部署配置中的真实连接串直接写入版本库
• 不要将演示环境与真实业务环境混用

下面这些问题优先级较高：

• 认证与权限绕过
• 任意读取、导出或删除 newsroom 数据
• 可导致审批链或审计链失真的漏洞
• 真实敏感来源信息泄露
• 通过前端或部署配置泄露服务端密钥

在问题修复前，请尽量避免公开传播可直接利用的细节。