Что изменилось

Verify-step встроен в beforeBuild хук electron-builder, чтобы 5 release-workflow не могли «обойти» гейт. Параллельно добавлен ENV-флаг для пакетных лейнов, которые работают без payload.

• Hoisted into beforeBuild: apps/electron/scripts/beforeBuild.cjs вызывает rox-design:payload:verify до любой build-action — workflow, который invoke'ит bunx electron-builder напрямую, теперь тоже проходит гейт.
• Explicit verify steps: в каждом из 5 release workflow'ов добавлен explicit «Verify Rox Design runtime payload» step перед bunx electron-builder — defence-in-depth для случаев, когда beforeBuild по какой-то причине пропущен.
• ROX_SKIP_ROX_DESIGN_PAYLOAD_VERIFY=1: escape-hatch для CI лейнов, которые сознательно не стейджат payload (mac-arm-build, и далее — все packaged-launch lanes).
• 5 PR'ов разблокированы: предыдущая жёсткая блокировка ломала PR validation для не связанных с Rox Design изменений.
• Mach-O signing: отдельный фикс — nested open-design/bin/node binary объявлен для mac-signing, иначе codesign падал на nested Mach-O.

Где попробовать

CI-only changes, но видны как зелёные гейты в каждом release PR.

Связано

PR #297 + #300 + #302 + #331 + #333.