fix(deps): Dependabot 脆弱性対応（Critical/High 中心の推移的依存パッチ）

[vemikrs]

概要

GitHub Dependabot のオープンアラートのうち Critical / High を中心に、脆弱性のある推移的依存をパッチ版へ更新しました。

変更内容

重大度	パッケージ	変更	方法
Critical	tomcat-embed-core	10.1.54 → 10.1.55	build.gradle tomcat.version 上書き
High	netty-codec(-http/http2/dns 他)	4.1.132 → 4.1.133.Final	netty.version 上書き
High/Med	bouncycastle bcprov/bcpkix-jdk18on	1.83 → 1.84	依存を明示固定
Med	brace-expansion	5.0.5 → 5.0.6	pnpm-workspace.yaml overrides
Med	ws	8.20.0 → 8.21.0	同上

関連アラート: #220 #218 #215 #217 #216 #214 #204 #201 #205 #207 #208 #196 #194 #195 #212 #213

なぜ

公開 OSS のためデフォルトブランチに多数の脆弱性アラートが出ており、影響度の高いものから解消するため。

レビュー時の補足

• postgresql / commons-lang3 は既にパッチ版へ解決されており、該当アラートは stale。
• mcp-core (1.0.x) / opentelemetry-api / junrar は Spring AI BOM 管理下でメジャー/マイナー更新が破壊的変更リスクを伴うため、本 PR ではスコープ外。別途個別対応が必要。
• pnpm 11.5 では package.json の pnpm.overrides が読まれなくなっている（undici 等が無効化済み）。本 PR では最小限で pnpm-workspace.yaml 側に追記した。既存 overrides 群の移行は別途要対応。

検証

• 依存解決でパッチ版へ上書きされることを gradlew :backend:dependencies で確認
• ./gradlew :backend:compileJava 成功
• pnpm install --lockfile-only でロックファイル更新