feat: 前置驗證納入 git push 認證檢查

git push 走 askpass + HTTP 認證，與 Gitea REST API 是兩套機制，API token
有效不代表 push 能用（曾出現 askpass 無法執行、could not read Username 而
push 失敗）。新增 git.js verifyRemoteAccess() 以相同 askpass + remote URL
跑唯讀 git ls-remote，preflight 呼叫並在失敗時 exit 1，提前攔下設定問題。

新增 git.test.js 對 verifyRemoteAccess 的測試（成功、失敗不丟例外、token
不外洩、askpass 清理）。

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

app/preflight.js

@@ -9,6 +9,7 @@ import {
   PR_NUMBER,
   getLLMConfig,
 } from './config.js';
+import { verifyRemoteAccess } from './git.js';
 import { step, line, ok, error } from './log.js';
 
 const httpsAgent = GITEA_SKIP_TLS_VERIFY ? new https.Agent({ rejectUnauthorized: false }) : undefined;
@@ -92,7 +93,7 @@ export async function verifyLLM() {
  * 集中執行所有驗證相關設定的前置檢查；全部通過回傳 true，任一失敗回傳 false。
  * 僅做唯讀的認證/連線確認，不發布任何 comment。
  */
-export async function runPreflight() {
+export async function runPreflight(workspace = process.env.GITHUB_WORKSPACE || '/workspace') {
   step('Step1.5', '前置驗證（驗證相關設定）');
 
   const env = checkRequiredEnv();
@@ -117,6 +118,13 @@ export async function runPreflight() {
   if (comment.skipped) line('未提供 GITEA_COMMENT_TOKEN，comment 將沿用 GITEA_TOKEN');
   else ok('GITEA_COMMENT_TOKEN 可用');
 
+  const remote = verifyRemoteAccess(workspace);
+  if (!remote.ok) {
+    error(`git push 認證/連線驗證失敗（ls-remote）: ${remote.error}`);
+    return false;
+  }
+  ok('git remote 認證可用（ls-remote 成功）');
+
   const llm = await verifyLLM();
   if (!llm.ok) {
     error(`LLM 驗證失敗: ${llm.error}`);