feat: security-checklist に GITHUB_TOKEN スコープ監査・環境変数シークレット漏洩チェックを追加

[yk-lab]

背景

audit-actions の security-checklist は主要なチェック項目をカバーしているが、以下の観点が不足している：

1. GITHUB_TOKEN スコープ監査: permissions: 宣言があっても、リポジトリ設定（public/private、Settings > Actions > Workflow permissions）で実際のスコープが変わる。チェックリストにリポジトリ設定確認の案内がない
2. 環境変数経由のシークレット漏洩: env: ブロックでシークレットを渡すとログに出力されるリスク。現在の「Secrets Passed to Untrusted Actions」チェックではカバーしきれない
3. pull_request_target + checkout の安全パターン: セクション3で言及はあるが、安全な ref 指定（base.sha vs head.sha）の具体例が不足

対応

skills/audit-actions/references/security-checklist.md に以下を追加：

• GITHUB_TOKEN スコープ確認ガイダンス（Info レベル）
• env: ブロックでのシークレット漏洩パターンと対策
• pull_request_target の安全/危険パターンの具体例

関連

• feat: audit-actions に checkout セキュリティチェックを追加 #12, chore: 全ワークフローに persist-credentials: false を適用 & checkout セキュリティチェック強化 #16