CC-SEC-04 CI-Gate für Security einführen

[jurei733]

Parent Epic: #142

Aufwand: 1 PT
Priorität: P0
Sprint: Sprint 1 (20.04–01.05)

Akzeptanzkriterien

• CI bricht bei High-Findings (oder höher) ab.
• Security-Check ist Pflichtstatus für Merge.
• README/Contributing enthält Hinweis zum neuen Gate.

[jurei733]

Abhängigkeit: hängt von #147 und #148 ab.

[jurei733]

Nachpruefung am 2026-06-17: Dieses Ticket ist aus meiner Sicht noch nicht vollstaendig umgesetzt.

Geprueft:

• .github/workflows/ci.yml fuehrt aktuell npm ci, npm run lint und npm run test:coverage aus, aber keinen npm run audit:prod-Schritt und keinen gleichwertigen Security-Audit-Schritt.
• Damit wuerde die CI bei neuen High-/Critical-Findings aus npm audit --omit=dev aktuell nicht abbrechen.
• Die Branch Protection fuer master hat derzeit keine required_status_checks; ein Security-Check ist damit nicht als Pflichtstatus fuer Merge aktiviert.
• In README/Contributing finde ich keinen Hinweis auf das neue Security-Gate. Die README listet npm run lint, aber nicht npm run audit:prod oder eine Merge-Gate-Regel.

Nicht erfuellte Akzeptanzkriterien:

• CI bricht bei High-Findings oder hoeher ab.
• Security-Check ist Pflichtstatus fuer Merge.
• README/Contributing enthaelt Hinweis zum neuen Gate.

Empfehlung: Ticket wieder oeffnen oder Follow-up anlegen. Minimal waere ein CI-Step wie npm run audit:prod -- --audit-level=high bzw. ein gleichwertiger Gate-Step plus aktivierte Required Status Checks und Doku-Hinweis.