ci: bump actions/setup-node to v6.4.0 (zizmor ref-version-mismatch fix)

[Palbahngmiyine]

Summary

zizmor v1.24.1의 ref-version-mismatch 감사 규칙이 actions/setup-node의 pinned SHA와 주석 버전이 서로 다른 릴리즈를 가리키는 것을 감지하여 GitHub Actions Security job이 exit code 13으로 실패. 이번 PR은 SHA를 v6.4.0으로 실제 업그레이드하고 주석을 정합시켜 해결합니다.

관련 실패 run: GitHub Actions Security #24647689822 (chore(beta): release solapi 6.0.0-beta.4)

원인

• 이전 SHA 53b83947a5a98c8d113130e565377fae1a50d02f → actions/setup-node v6.3.0
• 주석 # v6 → v6 floating tag는 현재 v6.4.0 (48b55a011bda)을 가리킴
• zizmor가 "주석과 SHA가 다른 릴리즈" → mismatch 경고 7건 → exit 13

수정 — v6.4.0으로 업그레이드

파일	변경 위치
.github/workflows/ci.yml	L37, L69, L112
.github/workflows/release.yml	L120, L192, L250
.github/workflows/build-docs.yaml	L30

7곳 모두:

- uses: actions/setup-node@53b83947a5a98c8d113130e565377fae1a50d02f # v6
+ uses: actions/setup-node@48b55a011bda9f5d6aeb4c2d9c7362e8dae4041e # v6.4.0

v6.4.0 안전성 검토

릴리즈 노트 확인:

• @actions/* 내부 의존성 업데이트
• versions.yml의 Node.js 버전 최신화
• API/동작 변경 없음, breaking change 없음

검증 (zizmor 공식 문서)

• Rule: ref-version-mismatch (https://docs.zizmor.sh/audits)
• Remediation: "Update or add the version tag comment to align with the actual pinned commit."
• 본 PR은 SHA·주석 모두 최신 릴리즈(v6.4.0)로 동기화하여 장기적으로 재발 방지.

🤖 Generated with Claude Code

[gemini-code-assist]

Note

Gemini is unable to generate a review for this pull request due to the file types involved not being currently supported.