feat: switch source URLs from GitHub to Forgejo

Hybride model (PBI-86 in Scrum4Me): de worker clonet en pusht naar
Forgejo (`origin`); GitHub-PR's ontstaan via een handmatige
promote-Action in Forgejo. Variabele-namen blijven `GH_TOKEN` en
`GH_PRECLONE_REPOS` (historisch); inhoud is voortaan een Forgejo-PAT.

- Dockerfile: MCP_GIT_REPO default →
  git.jp-visser.nl/janpeter/scrum4me-mcp.git
- bin/repo-bootstrap.sh: credential-helper host + clone-URL →
  git.jp-visser.nl
- bin/job-prepare.sh: cache-slug comment example bijgewerkt
- .env.example: documentatie + default `GH_PRECLONE_REPOS` naar
  janpeter/Scrum4Me + janpeter/scrum4me-mcp; instructies omgezet naar
  Forgejo-PAT-flow; `gh pr create` (auto_pr) verwijderd uit comment.
- README.md: internet-egress, token-instructies, clone-URL en
  repo-bootstrap-sectie verwijzen nu naar Forgejo. Promote-flow gelinkt.

gh CLI install blijft in Dockerfile staan (no-op zonder gh-aanroepen,
maar weinig kosten om voor ad-hoc gebruik te bewaren).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

README.md

@@ -66,7 +66,7 @@ fouten.
   `/share/Agent → /share/CACHEDEV1_DATA/Agent`.
 - Drie subdirs onder die share: `/share/Agent/cache`, `/share/Agent/logs`,
   `/share/Agent/state`. Aanmaken via File Station of via SSH na share-creatie.
-- Internet-uitgang naar `api.anthropic.com`, `github.com`, je Neon-host, `registry.npmjs.org`.
+- Internet-uitgang naar `api.anthropic.com`, `git.jp-visser.nl` (Forgejo HTTPS-clone/push), `cli.github.com` (build-time voor de gh CLI), je Neon-host, `registry.npmjs.org`.
 
 > **Verifieer** vóór je deployt dat `/share/Agent` echt op disk staat:
 > ```bash
@@ -85,18 +85,21 @@ fouten.
 #    b. SCRUM4ME_TOKEN           →  log in als de dedicated agent-user in
 #                                   Scrum4Me, /settings/tokens, label "NAS-runner"
 #    c. DATABASE_URL/DIRECT_URL  →  Neon dashboard
-#    d. GH_TOKEN                 →  github.com → Settings → Developer settings →
-#                                   Personal access tokens → Fine-grained.
-#                                   Repository access op madhura68/Scrum4Me +
-#                                   madhura68/scrum4me-mcp; Permissions:
-#                                   Contents (RW), Pull requests (RW),
-#                                   Metadata (R). Wordt gebruikt voor clone,
-#                                   push en `gh pr create` (auto_pr).
+#    d. GH_TOKEN                 →  Forgejo → avatar → Settings →
+#                                   Applications → Generate New Token; scope
+#                                   minimaal `write:repository` op de twee
+#                                   repos (janpeter/Scrum4Me + janpeter/
+#                                   scrum4me-mcp). Wordt gebruikt voor clone
+#                                   en push naar Forgejo. PBI-86 (hybride
+#                                   model): `gh pr create` is uit de
+#                                   worker-flow verwijderd — de GitHub-PR
+#                                   komt via de handmatige promote-Action
+#                                   in Forgejo.
 
 # 2. Repo op de NAS plaatsen
 ssh admin@nas
 cd /share/Agent
-git clone https://github.com/<jij>/scrum4me-agent-runner.git
+git clone https://git.jp-visser.nl/<jij>/scrum4me-agent-runner.git
 cd scrum4me-agent-runner
 
 # 3. Env aanmaken
@@ -326,7 +329,8 @@ Bij elke container-start runt `bin/repo-bootstrap.sh` (als de
 `agent`-user, ná drop-privileges) en zet zo'n setup neer:
 
 1. Configureert git's credential-helper met `GH_TOKEN` zodat
-   `git clone`/`push` naar `https://github.com/...` zonder prompt werkt.
+   `git clone`/`push` naar `https://git.jp-visser.nl/...` (Forgejo) zonder
+   prompt werkt.
 2. Voor elke repo in `GH_PRECLONE_REPOS` (komma-gescheiden owner/name):
    - Bestaat `~/Projects/<name>/.git` al? → `git fetch origin --prune`
    - Anders → fresh `git clone`
@@ -337,8 +341,10 @@ voor jobs landen vervolgens onder `~/.scrum4me-agent-worktrees/<jobId>/`
 zodat de hoofd-clone niet wordt aangeraakt.
 
 Push gaat over dezelfde token: `git push -u origin feat/story-<id>`
-slaagt zonder prompt. `gh pr create` (voor producten met `auto_pr=true`)
-gebruikt dezelfde `GH_TOKEN` via de `gh` CLI's standaard env-detect.
+slaagt zonder prompt. **`gh pr create` is in PBI-86 (T-1005) verwijderd
+uit de worker-flow** — de GitHub-PR ontstaat via een handmatig
+getriggerde promote-Action in Forgejo (zie de Scrum4Me-repo
+`docs/runbooks/forgejo-hybrid-flow.md`).
 
 ## Veelvoorkomende issues