ci: Org-weite Default-CI für AIE-Bauteile

[LEEI1337]

Summary

Org-weite Default-CI-Vorlage für AIE-Bauteile (AI Engineering at). Folgt GitHub-Konvention .github/workflow-templates/ — Repos in der Org sehen "AIE Bauteil CI" im "Set up workflow"-Picker als Vorlage.

Files

• workflow-templates/aie-bauteil-ci.yml — Workflow-Definition
• workflow-templates/aie-bauteil-ci.properties.json — Picker-Metadaten

Inhalte (aie-bauteil-ci.yml)

• Jobs: lint (ruff + black) | security (bandit) | test (pytest)
• Python-Matrix: 3.11 + 3.12
• Triggers: push (main/develop), pull_request, workflow_dispatch
• Security-Hygiene:
  • permissions: contents: read (least-privilege Default)
  • persist-credentials: false bei checkout
  • Action-Pinning auf major-tags (@v4 / @v5)
  • concurrency + cancel-in-progress
  • Bandit -ll (low+ severity, scoped)

Robustheit

• Tests-Step erkennt tests/ ODER test/ und skipt sauber wenn nichts da ist
• Deps-Install probiert requirements.txt, requirements-dev.txt, pyproject.toml[dev], fallback bare -e .

ISC2-CC-Alignment

• CIA: I (Lint/Format/Tests verhindern Integrity-Drift) + C (Bandit für Confidentiality-Risk)
• Least Privilege: Permissions read-only Default + Job-scoped
• Defense-in-Depth: Pin + concurrency + persist-credentials false

Test plan

• Org-Settings → Actions → "Set up workflow" zeigt "AIE Bauteil CI" als Vorlage
• Template in einem AIE-Bauteil-Repo aktivieren, push → alle 4 Jobs grün
• Properties-JSON von GitHub korrekt geparsed (Name/Kategorien sichtbar)

W84-D — Cross-Ref ~/kb/raw/2026-05-27-w84-d-github-org-workflow-template.md