feat: security-checklist に gh attestation verify / SLSA provenance 検証パターンを追加

[yk-lab]

背景

PR #22 で ghalint バイナリの検証を sha256sum checksums から gh attestation verify (SLSA provenance) に切り替えた。
この検証パターンは audit-actions や pin-actions スキルでも推奨すべきベストプラクティス。

現状

• security-checklist.md にはアクションの SHA ピン留めチェックはあるが、サードパーティバイナリの検証パターンに関する記載がない
• sha-pinning-guide.md にも gh attestation verify の言及なし

対応

security-checklist.md

• 新規チェック項目「Binary Verification」を追加（Info レベル）
  • curl | bash や curl | tar パターンの検出
  • gh attestation verify への切り替え推奨
  • checksums 検証との違い（ハッシュ一致 vs ビルド出自の暗号検証）

sha-pinning-guide.md or upgrade-patterns.md

• gh attestation verify の使用例を追加
  • gh release download + gh attestation verify --signer-workflow のパターン
  • GitHub-hosted runner ではプリインストール済みで追加セットアップ不要

参考

• PR fix: ghalint の検証を gh attestation verify に切り替え #22: ghalint の attestation verify 切り替え実装
• https://cli.github.com/manual/gh_attestation_verify
• https://slsa.dev/