Что изменилось

Embedded Rox Design payload теперь распространяется через content-addressed архив с SHA-256-pin на каждом слое. Linux и Windows CI больше не зависят от локальной mac-only установки Open Design.

• Producer pipeline: новый bun-скрипт build-rox-design-payload-archive.ts и manual-dispatch workflow собирают canonical архив на macOS-runner и публикуют его с meta-файлом версий.
• Consumer mode --from-archive: scripts/prepare-rox-design-runtime.ts принимает URL архива, скачивает, верифицирует SHA-256 против runtime-payload-versions.json, распаковывает в resources/rox-design/.
• 4 слоя защиты: Producer build + Consumer verify + Gate validate MANIFEST + Defence-in-Depth beforeBuild hook + workflow assertion.
• Bit-identical artifacts: один lockfile + один SHA = идентичные бинари на Linux, Windows и macOS CI lane'ах.
• Linux/Win независимость: CI больше не нуждается в /Applications/Open Design.app — критичный шаг для cross-platform release pipeline.
• Cross-check versions manifest: финальный layer сверяет archiveSha256 архива с runtime-payload-versions.json[current].archiveSha256.

Где попробовать

Прозрачно для пользователей — но новые релизы воспроизводимо собираются на любой платформе.

Связано

PR #306 + #310 + #313 + #315 + ADR #317.