chore(templates): adicionar environment gate npm-publish no _publish.yml

[rlueder]

Resumo

Adiciona environment: npm-publish ao job de publish em _publish.yml (template + cópia interna do tooling). Implementa o cluster K da auditoria pós-bug RDS (PRE-222 / parent PRE-211).

Mudanças

• templates/github/workflows/_publish.yml — env gate no template (consumido por precisa sync nos repos OSS).
• .github/workflows/_publish.yml — mesmo gate no próprio tooling.

Por quê

Publicações em @precisa-saude/* não passavam por aprovação humana. Mesmo em repo OSS o stake é a marca: pacote comprometido publicado no namespace arrasta a credibilidade do ecossistema. Sigstore (--provenance) já está ativo e dá atestado de proveniência, mas não é controle de mudança — só de origem.

environment: npm-publish cria um marco de deployment no Actions UI. Quando o consumidor configurar required_reviewers em Settings → Environments → npm-publish, o job pausa em waiting até alguém aprovar. Sem reviewers configurados, o gate é informativo (não bloqueia) — então essa mudança é segura para mergear sem quebrar publicações em curso.

Sync downstream

Após merge desta PR e publicação do template via precisa sync, os repos consumidores precisam absorver:

• fhir-brasil
• medbench-brasil
• datasus-sdk

Comando em cada repo:

precisa sync

Antes de qualquer publicação real ficar bloqueada, configurar Settings → Environments → npm-publish com pelo menos 1 required reviewer em cada repo (incluindo tooling).

Test plan

• Disparar _release.yml no tooling e verificar que o job de publish aparece como "waiting" se npm-publish environment estiver com required reviewers.
• Sem reviewers configurados, confirmar que o publish prossegue normalmente (gate informativo).
• Após precisa sync em fhir-brasil, validar que o _publish.yml lá traz o gate.