refactor: вынос хардкода + LLM-анализ finding'ов

## Часть A: Вынос хардкода
- Новый модуль constants.py — все magic strings, лимиты, severity, ключи
  (104 хардкод-значения централизованы)
- Новый модуль queries.py — общие SQL-запросы (build_scan_list_query,
  build_package_list_query, get_dashboard_stats)
  Убрана дупликация между api/*.py и web/routes.py (~90%)

- config.py: добавлены NLP_ENABLED, nexus_timeout, guarddog_binary,
  log_syslog_facility, LLM-переменные
- nexus_client.py: таймауты из конфига, SHA256_CHUNK_SIZE из constants
- scanner.py: error-ключи из constants, GUARDDOG_OUTPUT_FORMAT из constants
- webhooks.py: RELEVANT_WEBHOOK_ACTIONS, METADATA_PATTERNS, ignore-строки
  из constants
- logging_setup.py: конфигурируемый syslog facility, APP_PACKAGE из constants
- main.py: APP_NAME, APP_DESCRIPTION, APP_PACKAGE из constants
- models.py: поле report: JSON | None в Finding для LLM-отчётов
- harvester.py: авто-очистка tmpdir через finally; ERROR_MESSAGE_MAX_LENGTH
  из constants; PACKAGE_EXTENSIONS вместо SUPPORTED_EXTENSIONS (с .gem)
- api/*.py + web/routes.py: используют build_*_query из queries.py,
  константы для лимитов и сортировок
- tests/conftest.py: SEVERITY_WARNING, DEFAULT_ECOSYSTEM из constants

## Часть B: LLM-анализ finding'ов
- llm.py: клиент для OpenAI-совместимых API с промптом security-аналитика
- harvester.py: авто-триггер после flagged scan, сохранение report в БД
- api/findings.py: POST /{id}/analyze — ручной триггер
- web/routes.py: POST /api/v1/findings/{id}/analyze — HTMX-фрагмент
- _llm_report_fragment.html: шаблон фрагмента с вердиктом
- scan_detail.html, package_detail.html: кнопка Analyze with LLM
  (htmx-post, spinner, inline-замена на LLM-отчёт)
- style.css: стили для .llm-report .verdict-safe/suspicious/malicious

## Часть C: Тесты
- 50 тестов, все зелёные
- Линтер чистый
- Тесты используют constants где нужно

guarddog_nexus/nexus_client.py

@@ -6,10 +6,12 @@ import os
 import httpx
 
 from guarddog_nexus.config import config
+from guarddog_nexus.constants import (
+    PYPI_PATH_PREFIX,
+    SHA256_CHUNK_SIZE,
+)
 from guarddog_nexus.logging_setup import log
 
-SUPPORTED_EXTENSIONS = (".tar.gz", ".tgz", ".whl", ".zip")
-
 
 def extract_pypi_info(asset_path: str) -> tuple[str, str] | None:
     """Extract package name and version from a PyPI asset path.
@@ -17,7 +19,7 @@ def extract_pypi_info(asset_path: str) -> tuple[str, str] | None:
     Path format: packages/requests/2.31.0/requests-2.31.0.tar.gz
     """
     parts = asset_path.strip("/").split("/")
-    if len(parts) >= 3 and parts[0] == "packages":
+    if len(parts) >= 3 and parts[0] == PYPI_PATH_PREFIX:
         return parts[1], parts[2]
     return None
 
@@ -27,7 +29,9 @@ async def download_asset(download_url: str, dest_dir: str) -> str | None:
     dest_path = os.path.join(dest_dir, os.path.basename(download_url.split("?")[0]))
 
     auth = httpx.BasicAuth(config.nexus_username, config.nexus_password)
-    async with httpx.AsyncClient(auth=auth, timeout=120, follow_redirects=True) as client:
+    async with httpx.AsyncClient(
+        auth=auth, timeout=config.nexus_download_timeout, follow_redirects=True
+    ) as client:
         try:
             response = await client.get(download_url)
             response.raise_for_status()
@@ -42,13 +46,15 @@ async def download_asset(download_url: str, dest_dir: str) -> str | None:
 async def nexus_get(path: str) -> httpx.Response:
     """Make an authenticated GET request to Nexus REST API."""
     auth = httpx.BasicAuth(config.nexus_username, config.nexus_password)
-    async with httpx.AsyncClient(auth=auth, timeout=30) as client:
+    async with httpx.AsyncClient(
+        auth=auth, timeout=config.nexus_api_timeout
+    ) as client:
         return await client.get(f"{config.nexus_url.rstrip('/')}{path}")
 
 
 def compute_sha256(filepath: str) -> str:
     h = hashlib.sha256()
     with open(filepath, "rb") as f:
-        for chunk in iter(lambda: f.read(8192), b""):
+        for chunk in iter(lambda: f.read(SHA256_CHUNK_SIZE), b""):
             h.update(chunk)
     return h.hexdigest()