Add npm audit gates to workflows

[yugook]

Summary

• add high-severity npm audit checks to the CI pipeline to block vulnerable PRs
• add npm audit and signature verification gates to the release workflow before packaging and publishing

Testing

• not run (CI-only changes)

---

Codex Task

[gemini-code-assist]

Note

Gemini is unable to generate a summary for this pull request due to the file types involved not being currently supported.

[yugook]

方針としては良いと思います（依存関係の健全性を早めに検知できるので）。

ただ、GAFAM的な運用だと 「PRの必須ゲートに “外部要因で揺れやすい監査” を直結」 するのは慎重にやることが多いです。
（npm audit は一時的な上流都合・未対応CVE・transitive依存などでノイズが出やすく、開発速度を落としがち。）

提案（現実的な落としどころ）

A. PR(CI) は安定優先、監査は分離（おすすめ）

• PR必須は再現性が高いものだけ：
  • npm ci / lint / typecheck / tests
• npm audit / npm audit signatures は schedule（daily） で実行して
  • High/Criticalのみ通知 or Issue起票
  • allowlist（例外）を期限付きで管理

B. リリース品質優先なら「Releaseだけ必須」

• release.yml では現状どおり gate を置く（出荷前の最終関門としては合理的）
• ci.yml は
  • 最初は warn/通知（落とさない）
  • 安定してから必須化を検討

追加で確認したい点

• npm audit --production だけで良いか（dev依存も見るか）や、
• 実際のリリース頻度（週1 / 月1 / 不定期）に合わせて “Releaseだけ必須” の現実性が変わります。

個人的には、まず Release必須 + CIは通知（またはdaily） から入れて、
運用が落ち着いたら段階的に強めるのが一番安全だと思っています。