SBOM CycloneDX generation per release

## Что это SBOM (Software Bill of Materials) генерируется автоматически на каждый release через `@cyclonedx/cyclonedx-npm`. Output — `sbom.cdx.json` рядом с release artifacts. Содержит: все production dependencies с версиями, licenses, hash суммы (sha-256, sha-512), purl identifiers. SBOM подписывается release-key (Ed25519) для tamper-evidence. Diff vs previous release генерируется как `sbom-diff.md`: added/removed/upgraded deps. SBOM публикуется на GitHub Releases page и на R2 mirror для cons ## 🔗 Linear - [PZD-266](https://linear.app/kuhjie/issue/PZD-266) (match confidence: 0.383)