feat: POC — gitea-pages report publish + commit status

- ci-engine.yml: 2 dummy test stepiä + agnostinen publish-stage
  (skannaa .meta-tiedostot, PATCH raportit, postaa status + linkki)
- publish-git-pages.sh: palauta BASE URL (ilman index.html)
- .meta-formaatti: lisää context, description, state kentät

git-pages/docs/design-rationale.md

@@ -55,6 +55,20 @@ URL rakennetaan kahdesta erillisestä osasta, ei yhdestä sekavasta kaavasta:
 Polku vastaa Gitea Pages -käytäntöä (`/{owner}/{repo}/...`). Host on aina sama —
 ei `{owner}.pages...`-subdomainia.
 
+**Konkreettinen esimerkki (nykyinen ympäristö):**
+
+| Elementti | Arvo |
+|-----------|------|
+| **Gitea-instanssi** | `gitea.app.keskikuja.site` |
+| **Repo** | `niko/gitea-ci-library` |
+| **Haara** | `plan/0003-alkaa-käyttämään-itseään-commit-raportti` |
+| **Commit SHA** | `14cf2eaeed8a4033bc37c52b0b4c29f25b253ceb` |
+| **Raportin nimi** | `cucumber` (esim.) |
+| **Gitea commit -URL** | `https://gitea.app.keskikuja.site/niko/gitea-ci-library/commit/14cf2eaeed8a4033bc37c52b0b4c29f25b253ceb` |
+| **Raportin julkinen URL** | `https://ci-reports.helm-dev.keskikuja.site/niko/gitea-ci-library/commit/14cf2eaeed8a4033bc37c52b0b4c29f25b253ceb/cucumber/index.html` |
+
+Tämä varmistaa, että CI-statuslinkki on suoraan luettavissa ilman domain-rewriteä: raportin polku peilaa täsmälleen Gitean commit-polun rakennetta (`/{owner}/{repo}/commit/{sha}/{raportin-nimi}/`). Koska yksi ajo tuottaa useita raportteja, raportin nimi erottaa ne toisistaan.
+
 Julkaisija (CI tai muu asiakas) lähettää tar-arkiston PATCH/PUT:lla. Lukija hakee
 HTML:n GET:llä. Ei Gitea-git-integraatiota eikä `pages`-branchia.
 
@@ -78,15 +92,17 @@ Apex-juuri `/` on tyhjä tarkoituksella — ei landing-sivua.
 rewritea, ei per-owner subdomaineja, ei erillistä “julkaisu-URL vs. lukemis-URL” -kaavaa.
 Yksi TLS-sertifikaatti, yksi IngressRoute, yksi PVC.
 
-### 2. Julkaisu ja luku erotettu
+### 2. Sovelluksen sisäinen security kytketty pois, Traefik hoitaa rajauksen
 
-Julkaisu (PATCH/PUT) vaatii Traefik BasicAuthin. Luku (GET/HEAD) on erillinen reitti —
-katso [Luku-auth](#luku-auth) alla.
+`git-pages`-sovelluksen koko sisäinen security-mekanismi on kytketty pois päältä (`PAGES_INSECURE=1`). Kirjoitusoikeuden validointi tapahtuu yksinomaan Kubernetes-reunalla Traefik BasicAuth -middlewaren avulla. Sovellus palvelee sisältöä sokeana; klusteri päättää, kuka saa kirjoittaa.
 
-**Miksi:** git-pages ajaa `PAGES_INSECURE=1` — sovellus ei validoi julkaisuoikeuksia.
-Kirjoitusoikeus on eksplisiittisesti Traefik Middlewaressä (`git-pages-publish-auth`).
+### 3. Julkaisu ja luku erotettu
 
-### 3. Yksi publish-token, kaksi säilöä
+Julkaisu (PATCH/PUT) vaatii Traefik BasicAuthin. Luku (GET/HEAD) on erillinen reitti — katso [Luku-auth](#luku-auth) alla.
+
+**Miksi:** Koska sovellus ei validoi julkaisuoikeuksia, kirjoitusoikeus on eksplisiittisesti eriytetty Traefik Middlewaressä (`git-pages-publish-auth`).
+
+### 4. Yksi publish-token, kaksi säilöä
 
 Sama plaintext-token: klusterin Secretissä htpasswd-hashina, julkaisijan secret-holvissa
 (esim. CI-alustan Actions-secret).
@@ -94,14 +110,14 @@ Sama plaintext-token: klusterin Secretissä htpasswd-hashina, julkaisijan secret
 **Miksi:** Ei Gitea PAT:ia eikä `write:repository` -oikeutta. Token antaa vain
 julkaisuoikeuden tähän palveluun. Yksi arvo, kaksi paikkaa — ks. [secrets.md](secrets.md).
 
-### 4. Secretit erillisessä hallinnassa
+### 5. Secretit erillisessä hallinnassa
 
 `git-pages-publish-auth` luodaan ennen käyttöönottoa — ei osana sovelluksen konfiguraatiotiedostoja.
 
 **Miksi:** Salaisuudet eivät kulje versionoiduissa arvoissa. Rotaatio ja SealedSecrets
 pysyvät operaattorin hallussa. Ks. [secrets.md](secrets.md).
 
-### 5. Minimaalinen parametrisointi
+### 6. Minimaalinen parametrisointi
 
 Instance-arvot (`host`, `issuer`, PVC) `{env}-values.yaml`:ssa. Resurssinimet,
 secret-nimet ja Traefik-wire kovakoodattu templatessa.