Reference GitHub actions by commit

[cgrothaus]

Ziel

Dieser PR baut auf dem Tag v4 auf und pinnt Referenzen auf GitHub Actions.

Der Nutzen liegt bewusst weniger in neuem Verhalten als in Determinismus und Supply-Chain-Härtung: Workflows, Self-Referenzen und README-Beispiele zeigen damit immer auf genau den Stand, der auch reviewt wurde.

Änderungen

• Pinnt externe GitHub Actions in den Workflows und Action-Definitionen auf konkrete SHAs.
• Pinnt Self-Referenzen auf die eigenen SetOps Actions sowohl im Workflow als auch zwischen den Actions untereinander auf konkrete SHAs.
• Aktualisiert die README-Beispiele auf denselben Referenzierungsstil, damit Doku und tatsächliche Nutzung konsistent bleiben.
• Enthält genau die vier heutigen Follow-up-Commits auf dem mit v4 getaggten Merge-Commit: 031473a, c7877b6, be40a59, 606239d.

Hinweise

• Gegenüber v4 gibt es keine fachliche Erweiterung der Actions, sondern eine gezielte Härtung der Referenzen.
• Der PR lässt sich gut commitweise reviewen: erst generelles Pinning, dann Self-Referenzen im Workflow, danach in den Actions und zuletzt die README-Nachziehung.

[kevinkupski]

Superseded by #35