ROX.ONE Упаковка и Релиз — production-подпись и воспроизводимые сборки

ROX.ONE v1.0.0-rc.2 работает на Linux со GPG-подписью, на Windows — с самоподписью (SmartScreen предупреждает), на macOS — сборка отложена из-за несовместимости SDK 0.91 vs ^0.81. Этот эпик закрывает все пробелы: production-подпись на каждой платформе, воспроизводимые сборки из идентичного lockfile, CycloneDX SBOM и надёжный CDN-дистрибутив. Windows Authenticode через Azure Code Signing Service даст production-подпись без хранения сертификата локально — CI получает токен через managed identity, подписывает бинари, токен исчезает. macOS notarization через Apple Developer ID устранит проблему Gatekeeper-блокировки; для этого нужно зафиксировать SDK версию в lockfile и пройти нотаризацию через notarytool. Cloudflare R2 mirror с Workers обеспечит доступность бинарей через CDN с автоматическим деплоем при каждом релизе. Headless Docker-образ закроет серверный сценарий для self-hosted корпоративных установок. Расширенный preflight gate (16+ проверок) блокирует любой RC, не прошедший полный цикл. **Ключевые истории:** - Windows Authenticode через Azure Code Signing (CI-интеграция без локального cert) - macOS Developer ID notarization с notarytool + SDK lockfile fix - SBOM CycloneDX генерация + загрузка к Release assets автоматически - Cloudflare R2 mirror Worker с geographic routing - Headless Docker образ для server/self-hosted deploy **Источники вдохновения:** - [linear/linear-release](https://github.com/linear/linear-release) — CLI для отслеживания релизов в Linear - [fatedier/frp](https://github.com/fatedier/frp) — reverse proxy для headless ROX server - [alienator88/Sentinel](https://github.com/alienator88/Sentinel) — macOS Gatekeeper и self-sign patterns в SwiftUI **Ожидаемая ценность:** Установщик ROX.ONE на любой платформе работает без предупреждений ОС; каждый релиз верифицируем через SBOM и GPG; бинари доступны через CDN с минимальной задержкой в любой точке мира.