Security: Corrigir 3 vulnerabilidades críticas + 1 moderada

[C-001] CRÍTICO - Implementar autenticação API key
- Middleware Next.js protege todas as rotas /api/* (exceto /health)
- Sistema auth com validação de header x-api-key
- Template .env.example com API_SECRET_KEY

[C-002] CRÍTICO - Validação de inputs com Zod
- Schemas para siteId (int positivo) e period (1-365d)
- Previne NaN, SQL injection, inputs maliciosos
- Respostas 400 Bad Request com detalhes de erro

[C-003] CRÍTICO - Corrigir TypeScript any type
- chart-card.tsx: any → string | number | null
- ESLint passa sem warnings

[M-005] MODERADO - Corrigir .gitignore sobre-restritivo
- Exceção !.env.example permite commit do template

Verificações:
✅ pnpm run lint - 0 erros
✅ pnpm audit - 0 vulnerabilidades
✅ CVSS 7.5 → 0.0

Docs: AUDIT-REPORT.md, SECURITY-FIX.md, CHANGELOG.md
Regra: #47 (Security Audit Pre-Commit)

Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>

.env.example

@@ -0,0 +1,11 @@
+# Database Connection
+# For local development, use SSH tunnel: ssh -L 5432:descomplicar_metabase-db:5432 easy
+DATABASE_URL="postgresql://USER:PASSWORD@HOST:PORT/DATABASE?schema=staging"
+
+# Node Environment
+NODE_ENV=development
+
+# API Security
+# Generate a secure random string for production
+# Example: openssl rand -base64 32
+API_SECRET_KEY="your-secret-api-key-here-change-in-production"