feat(security): add Python (Ruff) and IaC (Checkov) reusable workflows

[NORSAIN-AI]

Summary

Batch 2 of the shared NORSAIN-AI security baseline under NORSAIN-AI/.github. Introduces two reusable workflow_call workflows, each self-gating on file presence so callers can wire them in unconditionally.

• security-python.yml - uv + Ruff (latest) with a broad lint (S,E,F,B,I,N,UP,SIM,TID,RUF) piped through reviewdog for inline PR comments, plus a strict --select S enforcement pass that fails the job on any security finding regardless of reviewdog outcome. Inputs: python-version (default 3.14), paths (default .), fail-on (default error).
• security-iac.yml - Checkov with soft_fail: true (so reviewdog can post inline comments) plus a deterministic severity gate that fails the job on findings at or above fail-on (default HIGH). Sets up Terraform so Checkov resolves provider schemas. Inputs: directory (default .), fail-on (default HIGH), terraform-version (default 1.7.0).

Both inherit secrets (GITHUB_TOKEN for reviewdog) and upload JSON findings as workflow artifacts. Follows the graceful-degradation pattern established by batch 1 (security-sast.yml, security-secrets.yml).

README gets a new 3a. Security Workflows section with the caller snippet from the plan at ~/.claude/plans/hvordan-kan-vi-bygge-magical-hinton.md.

Caller snippet

jobs:
  python-lint:
    if: ${{ hashFiles('**/pyproject.toml') != '' }}
    uses: NORSAIN-AI/.github/.github/workflows/security-python.yml@v1
    secrets: inherit
  iac:
    if: ${{ hashFiles('**/*.tf') != '' }}
    uses: NORSAIN-AI/.github/.github/workflows/security-iac.yml@v1
    secrets: inherit

Test plan

• actionlint passes (verified locally via rhysd/actionlint container)
• yamllint clean bar the repo-wide document-start warning (matches existing files)
• Require-labels / semantic-pr / actionlint workflow checks green on this PR
• Pilot call from a Python repo: add a known S-rule violation (e.g. subprocess.run(user_input, shell=True)); verify job fails and reviewdog posts an inline comment
• Pilot call from a Terraform repo: add a google_storage_bucket with public read; verify Checkov gate fails and reviewdog posts an inline comment
• Call from a repo with neither *.py/pyproject.toml nor *.tf: verify both workflows short-circuit and exit green

Notes

• Base is main; independent of PR feat(security): reusable SAST and secrets scanning workflows (batch 1) #12 (batch 1 SAST+secrets) and PR feat(ci): auto-apply triage label on PR open #13 (auto-triage).
• triage label applied manually; can be dropped once PR feat(ci): auto-apply triage label on PR open #13 is merged and the auto-label workflow runs on this PR.

[github-actions]

⚠️ This PR must have a milestone assigned before it can be merged/closed. Please assign an appropriate milestone.

[github-actions]

⚠️ This PR must have a milestone assigned before it can be merged/closed. Please assign an appropriate milestone.

[Copilot]

Pull request overview

Denne PR-en introduserer to nye gjenbrukbare sikkerhets-workflows i organisasjonsrepoet .github, slik at downstream-repoer kan koble på en felles baseline for Python (Ruff) og Terraform/IaC (Checkov). I tillegg oppdateres README med dokumentasjon og caller-eksempel for å gjøre adopsjon enkel på tvers av NORSAIN-AI.

Changes:

• Legger til reusable workflow for Python security lint med uv + Ruff + reviewdog.
• Legger til reusable workflow for Terraform IaC scanning med Checkov + reviewdog + severity-gate.
• Dokumenterer de nye workflowene og caller-snippet i README.

Reviewed changes

Copilot reviewed 3 out of 3 changed files in this pull request and generated 6 comments.

File	Description
README.md	Dokumenterer de nye security-workflowene og viser eksempel på hvordan de kalles fra andre repoer.
.github/workflows/security-python.yml	Ny reusable Python (Ruff) workflow med guard, reviewdog-rapportering og S-rule enforcement.
.github/workflows/security-iac.yml	Ny reusable IaC (Checkov) workflow med guard, reviewdog-rapportering og severity-basert gate.

[Copilot]

uses: bridgecrewio/checkov-action@master kjører fra en flytende branch og er en supply-chain risiko (plutselige endringer uten review) i en delt, organisasjonsnivå baseline. Pin actionen til en tag eller (helst) en commit-SHA for å få deterministiske og auditerbare kjøringer.

[Copilot]

I Locate Checkov JSON report faller workflowen tilbake til en tom rapport hvis checkov.json ikke finnes. Siden jobben allerede har gated på at repoet har *.tf, kan dette maskere reelle kjøre-/action-feil (Checkov kjørte ikke, krasjet, eller skrev et annet sted) og dermed gi falsk grønn status. I stedet bør dette steget feile tydelig når has-tf=true men ingen rapport kan lokaliseres (evt. med en eksplisitt melding om forventet output-path).

Suggested change

	# Fall back to empty report so downstream steps stay green on
	# repos with no scannable IaC.
	echo '{"results": {"failed_checks": []}}' > checkov.normalized.json
	echo "path=checkov.normalized.json" >> "$GITHUB_OUTPUT"
	echo "::error title=Missing Checkov JSON report::Expected Checkov output at 'checkov.json' or 'checkov.json/results_json.json', but neither file was found. This usually means the Checkov action failed, crashed, or wrote output to an unexpected location."
	exit 1

[Copilot]

README sier at kallere må bruke secrets: inherit for at GITHUB_TOKEN skal nå reviewdog. GITHUB_TOKEN er allerede tilgjengelig i Actions-konteksten, mens secrets: inherit videresender alle repo-secrets og øker eksponeringsflaten unødvendig. Oppdater teksten og caller-snippet til å ikke kreve secrets: inherit, og dokumenter heller nødvendige permissions (minst pull-requests: write) for at reviewdog skal kunne poste inline PR-kommentarer.

Suggested change

	Callers must use `secrets: inherit` so `GITHUB_TOKEN` reaches reviewdog for
	inline PR comments. Each workflow also self-gates on file presence so it is
	a safe no-op when called from an unrelated repo.
	`GITHUB_TOKEN` is already available in the Actions context, so callers do
	not need `secrets: inherit` for reviewdog. Instead, caller workflows should
	grant the required `permissions` for PR annotations, at minimum
	`pull-requests: write` for inline PR comments. Each workflow also self-gates
	on file presence so it is a safe no-op when called from an unrelated repo.

[Copilot]

Seksjonen "3a. Security Workflows" er skrevet på engelsk, mens resten av README er på norsk bokmål. For konsistens og for å følge repoets dokumentasjonsstil bør denne seksjonen oversettes til norsk (eller alternativt gjøres hele README språklig konsistent).

Suggested change

	## 3a. Security Workflows
	Reusable security workflows in `.github/workflows/` provide a shared baseline
	for Python linting and Terraform scanning across all NORSAIN-AI repos.
	Callers must use `secrets: inherit` so `GITHUB_TOKEN` reaches reviewdog for
	inline PR comments. Each workflow also self-gates on file presence so it is
	a safe no-op when called from an unrelated repo.
	- `security-python.yml` — Installs `uv` and Ruff (latest), runs a broad lint
	(`S,E,F,B,I,N,UP,SIM,TID,RUF`) whose JSON output is converted to rdjson
	and posted via reviewdog, then runs a strict enforcement pass on `--select
	S` that fails the job on any security finding. Uploads `ruff.json` as an
	artifact. Inputs: `python-version` (default `3.14`), `paths` (default
	`.`), `fail-on` (default `error`).
	- `security-iac.yml` — Sets up Terraform for Checkov's provider schema
	resolution, runs Checkov with `soft_fail: true`, converts JSON findings
	to rdjson for reviewdog inline PR comments, then runs a severity gate
	that fails the job when any finding is at or above `fail-on`. Uploads
	`checkov.json` as an artifact. Inputs: `directory` (default `.`),
	`fail-on` (default `HIGH`), `terraform-version` (default `1.7.0`).
	After this repo is tagged `v1`, callers wire in the reusable workflows:
	## 3a. Sikkerhets-workflows
	Gjenbrukbare sikkerhets-workflows i `.github/workflows/` gir et felles
	grunnnivå for Python-linting og Terraform-skanning på tvers av alle
	NORSAIN-AI-repoer. Kallende repoer må bruke `secrets: inherit` slik at
	`GITHUB_TOKEN` blir tilgjengelig for reviewdog til inline PR-kommentarer.
	Hver workflow har også egen kontroll på filtilstedeværelse, slik at den
	trygt blir en no-op når den kalles fra et repo uten relevante filer.
	- `security-python.yml` — Installerer `uv` og Ruff (siste versjon), kjører
	en bred lint (`S,E,F,B,I,N,UP,SIM,TID,RUF`) der JSON-utdata konverteres
	til rdjson og publiseres via reviewdog, og kjører deretter en streng
	håndhevingsrunde med `--select S` som feiler jobben ved ethvert
	sikkerhetsfunn. Laster opp `ruff.json` som artefakt. Inputs:
	`python-version` (standard `3.14`), `paths` (standard `.`), `fail-on`
	(standard `error`).
	- `security-iac.yml` — Setter opp Terraform for Checkovs oppløsning av
	provider-skjema, kjører Checkov med `soft_fail: true`, konverterer
	JSON-funn til rdjson for inline PR-kommentarer via reviewdog, og kjører
	deretter en alvorlighetsgrad-sperre som feiler jobben når et funn er på
	eller over nivået angitt i `fail-on`. Laster opp `checkov.json` som
	artefakt. Inputs: `directory` (standard `.`), `fail-on` (standard
	`HIGH`), `terraform-version` (standard `1.7.0`).
	Etter at dette repoet er tagget `v1`, kan kallende repoer koble inn de
	gjenbrukbare workflowene:

[Copilot]

fail-on er definert som input, men brukes ikke noe sted i workflowen. Dette gjør API-et misvisende for kallere. Enten implementer inputen (f.eks. ved å styre hvilke Ruff-koder som skal feile enforcement-steget) eller fjern inputen og oppdater README/kommentarer tilsvarende.

[Copilot]

Å installere verktøy som "latest" (uv tool install ruff uten versjon og reviewdog_version: latest) gjør workflowen ikke-deterministisk og kan gi plutselige brudd/endret policy når nye releaser kommer. Vurder å pinne til eksplisitte versjoner (evt. via input med trygg default) slik at baseline blir stabil og oppgraderinger kan styres.