当前默认只承诺跟进：

• main 分支上的最新代码
• 最新一个已发布版本

更早的历史版本通常不会继续接收安全修复。

请不要直接公开提交安全漏洞 issue。

建议的披露方式：

1. 如果仓库启用了 GitHub Security Advisories，请优先使用私密安全报告。
2. 如果暂时没有该入口，请先通过维护者公开资料中的私密联系方式沟通。
3. 在维护者确认之前，请避免公开 PoC、利用细节或敏感环境信息。

这个项目是本地优先的桌面应用。当前仓库里没有配置遥测或分析服务，但仍有几类本地持久化数据需要了解：

• 最近文件、界面语言、主题和工作区偏好会保存在本地设备
• 文档恢复草稿和历史快照会保存在应用配置目录
• 图片上传相关配置会保存在本地

当前实现里，Cloudflare R2 的上传配置仍属于“本地明文配置”范畴，而不是系统钥匙串级别的安全存储。共享设备、演示机器或受控环境下使用时，请自行评估风险。

如果你 fork 这个项目并继续分发，请务必替换并审查：

• 应用官网链接
• 自动更新端点
• Cloudflare Worker / R2 配置
• Homebrew tap 仓库与发布凭据

这些入口既关系到品牌，也关系到分发安全边界。