Problem: Code-Review fand drei Folgerisiken im neuen Journal-Publisher: Gate-/Build-Failures konnten den Bot-Worktree dreckig hinterlassen, Secret-/Config-Breadcrumbs wurden nicht hart genug redigiert und Dependency-Änderungen liefen potenziell gegen altes `node_modules`
Ursache: Der erste Fix konzentrierte sich auf Live-Recovery und täglichen Publish, nicht auf Failure-Recovery, OpSec-Breadcrumbs und Lockfile-Drift
Fix: `journal-sync-deploy.mjs` mit Cleanup nach Gate-/Build-Fehlern gehärtet, `sync-journal.mjs` um Secret-/Config-/Token-Redaction erweitert, Wrapper `w3yh-journal-sync-deploy.sh` auf Lockfile-Hash für `npm ci` umgestellt und Incident-Log-Coverage nachgezogen