ci: ретрай установки trufflehog в secret-scan (флап блокировал deploy)

Шаг "Install trufflehog" качал install.sh с raw.githubusercontent через
curl без ретрая. Разовый сетевой таймаут (curl exit 28) валил secret-scan
→ deploy пропускался (needs: [build, secret-scan]), хотя код корректен.

Добавлен цикл из 3 попыток с паузой 10с + --connect-timeout/--max-time
и проверка command -v trufflehog. Разовый сетевой сбой CI больше не
блокирует деплой.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

.gitea/workflows/ci.yml

@@ -56,8 +56,18 @@ jobs:
           fetch-depth: 0
       - name: Install trufflehog
         run: |
-          curl -sSfL https://raw.githubusercontent.com/trufflesecurity/trufflehog/main/scripts/install.sh \
-            | sh -s -- -b /usr/local/bin
+          # Скачивание install.sh с raw.githubusercontent периодически
+          # отваливается по сетевому таймауту (curl exit 28) и валит весь
+          # secret-scan → deploy skipped. Ретраим 3 раза с паузой, чтобы
+          # разовый сетевой сбой CI не блокировал деплой.
+          for i in 1 2 3; do
+            curl -sSfL --connect-timeout 15 --max-time 120 \
+              https://raw.githubusercontent.com/trufflesecurity/trufflehog/main/scripts/install.sh \
+              | sh -s -- -b /usr/local/bin && break
+            echo "Попытка $i установить trufflehog не удалась, повтор через 10с…"
+            sleep 10
+          done
+          command -v trufflehog
       - name: Run trufflehog
         run: |
           trufflehog git "file://$(pwd)" \