[CI] v1.0.0 publish 승인 게이트와 tag 보호 계약 추가

[JeremyDev87]

배경

v1.0.0 tag push가 유지보수자 승인 없이 바로 npm/GitHub Release publish로 이어지지 않도록 release publish gate를 추가합니다.

변경 사항

• root package tarball build/smoke/upload를 approval 이전 job으로 분리
• GitHub Environment release에 묶인 approve-release-publish job 추가
• addon npm publish, root npm publish, GitHub Release 생성이 approval job 이후에만 실행되도록 needs 조정
• root publish는 approval 이전에 만든 동일 tarball artifact를 다운로드해 publish
• repo settings: release environment와 refs/tags/v* 보호 ruleset 확인/생성

검증

• git diff --check
• actionlint .github/workflows/release.yml
• gh api repos/JeremyDev87/kratos/environments
• gh api repos/JeremyDev87/kratos/rulesets
• Devil's Advocate review gate: Critical 0 / High 0 / Medium 0 / Low 0

실행하지 않은 것

• release workflow dispatch 없음
• tag 생성/삭제 없음
• npm publish 없음
• GitHub Release 생성 없음

외부 설정 증거

• release environment: required reviewer JeremyDev87
• ruleset: Protect release version tags, target tag, refs/tags/v*, creation/deletion rules active

브랜치 / 워크트리

• base: master
• branch: ci/83-release-gate
• worktree: /private/tmp/kratos-v1-wave1/issue-83

이슈 연결

Closes #83

[JeremyDev87]

독립 fresh-session 리뷰 결과

• Verdict: APPROVE
• Severity Summary: Critical 0 / High 0 / Medium 0 / Low 0
• Findings: 없음
• Rationale: approve-release-publish job이 release environment를 사용하고, addon publish, root publish, GitHub Release 생성 경로가 모두 해당 job을 needs로 요구합니다. root tarball은 승인 전 빌드/검증/업로드되고 승인 후 다운로드해 재사용하는 구조라 경로상 우회나 artifact 누락 문제를 찾지 못했습니다. CI는 일부 pending이지만 실패는 확인되지 않았습니다.

Note: GitHub 정책상 self-authored PR에는 공식 approve를 제출할 수 없어 동일한 verdict를 PR comment로 남깁니다.