v0.26.0: close remaining 4 backlog — scanner / templates / roundtrip / multi-platform CI

v0.25.0 把 installer / hero / CI gate 收尾。v0.26.0 把責任矩陣裡最後 4 個 🟡 一次清完，矩陣現在 0 個 🟡。

🆕 scripts/security-scan.mjs — 確定性 workflow 安全掃描器

regex / 結構性規則，不是 AI 判斷：密鑰文字（OpenAI/AWS/GitHub/Slack/Google/PEM/JWT/basic-auth-URL）、敏感 key 明文值、cleartext HTTP URL、webhook-without-auth、empty / unparsable JSON。--glob + --format text|markdown|json。本地跑 16 個 workflow：0 errors, 9 warnings（全部是 case study 故意保留的 webhook-no-auth，已在 SECURITY-CAVEATS 揭露）。

🆕 scripts/live-roundtrip.mjs — n8n REST round-trip

POST → GET（node count 比對）→ DELETE，不留垃圾。沒設 `N8N_API_URL` / `N8N_API_KEY` 就 exit 0 skip，CI optional job 用。

🆕 examples/templates/ — 3 個 drop-in importable workflow

檔案	模式
`retry-with-backoff.workflow.json`	指數退避 retry + dead-letter
`human-approval-gate.workflow.json`	人工核可關卡（Wait + resume webhook）
`handover-trace.workflow.json`	跨系統交接 + correlation ID

每檔 sticky note 列：模式 / 實作節點 / 上線前要改什麼 / 滿足 SECGOV 哪幾條。三檔 scanner 都 0/0。

🛡️ CI gate 擴充（多平台）

`.github/workflows/security-gate.yml` 新增 4 個 job：

• `workflow-security-scan` — 跑 scanner
• `dependency-cve` — matrix npm-audit（LINE CS cloud + on-prem）
• `container-scan` — Trivy fs scan on-prem
• `live-roundtrip` — secret-gated

`.gitlab-ci.yml` 鏡像同邏輯給 GitLab。

📋 周邊串接

• `docs/responsibility-matrix.md`：4 🟡 → ✅，狀態 as of v0.26.0
• `tigerai-enterprise-patterns` SKILL.md 引用 templates 為 drop-in scaffold

Backlog 結餘

責任矩陣現在 0 個 🟡 — 剩 ⛔ 都是「不在 Pack scope 內」（SSO / IAM / Audit Log / multi-main HA / /metrics 觀測 stack / ERP/CRM/DB/LLM 整合）。🟡 不再代表「答應但還沒做」。