feat(core): support resource dependency ordering during reconciliation

[fhussonnois]

Summary

• Add @ReconciliationOrder annotation for declaring within-provider resource type ordering (lower values = reconciled first)
• Sort resource types by order in DefaultApi.applyPatchesAndGetResults() before processing, with alphabetical tiebreaker for determinism
• Reverse ordering for delete-only operations (delete dependents first)
• Cross-provider ordering is handled by the existing Provider Groups feature — list order in config = execution order

Within-provider ordering applied to:

Provider	Resource	Order
Kafka	KafkaUser	50
Kafka	KafkaTopic	100
Kafka	KafkaClientQuota	150
Kafka	KafkaPrincipalAuthorization	200
Kafka	KafkaConsumerGroup	250
Kafka	KafkaTableRecord	300
Schema Registry	SchemaRegistrySubject	100
Kafka Connect	KafkaConnector	100
Iceberg	IcebergNamespace	100
Iceberg	IcebergTable	200
Iceberg	IcebergView	300

Design decisions

• No @DependsOn / DAG — avoids Terraform-style complexity (cycles, state, implicit references)
• No cross-provider coupling — providers never reference each other's types
• Two-layer ordering: users control cross-provider via Provider Groups config, provider authors control within-provider via annotations/registration
• Generated models use programmatic setReconciliationOrder() during registration (annotations get wiped by jsonschema2pojo); hand-written models use @ReconciliationOrder annotation

Closes #744

Test plan

• ReconciliationOrderTest — annotation extraction, defaults, setter
• ReconciliationOrderingTest — ascending sort for create, descending for delete, alphabetical tiebreaker
• Core module: 377 tests pass
• Kafka provider tests pass
• Iceberg provider tests pass
• Manual: jikkou apply with mixed Iceberg resources, verify Namespace created before Table before View in logs

[github-actions]

Security Scan Results

Vulnerabilities detected:

Report Summary

┌───────────────────────────────────────────────────┬───────┬─────────────────┬─────────┐
│                      Target                       │ Type  │ Vulnerabilities │ Secrets │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ cli/pom.xml                                       │  pom  │        2        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ core/pom.xml                                      │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ docs/go.mod                                       │ gomod │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ extension-rest-client/pom.xml                     │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ pom.xml                                           │  pom  │        4        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ processor/pom.xml                                 │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ providers/jikkou-provider-aiven/pom.xml           │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ providers/jikkou-provider-aws/pom.xml             │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ providers/jikkou-provider-confluent/pom.xml       │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ providers/jikkou-provider-core/pom.xml            │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ providers/jikkou-provider-iceberg/pom.xml         │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ providers/jikkou-provider-kafka-connect/pom.xml   │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ providers/jikkou-provider-kafka/pom.xml           │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ providers/jikkou-provider-schema-registry/pom.xml │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ resource-generator/pom.xml                        │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ server/jikkou-api-client/pom.xml                  │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ server/jikkou-api-data/pom.xml                    │  pom  │        0        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ server/jikkou-api-server/pom.xml                  │  pom  │        2        │    -    │
├───────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ template-jinja/pom.xml                            │  pom  │        0        │    -    │
└───────────────────────────────────────────────────┴───────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)


For OSS Maintainers: VEX Notice
--------------------------------
If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://trivy.dev/docs/v0.69/guide/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.


cli/pom.xml (pom)
=================
Total: 2 (HIGH: 2, CRITICAL: 0)

┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────────────┬────────────────────────────────────────────────────────────┐
│          Library           │ Vulnerability  │ Severity │ Status │ Installed Version │        Fixed Version        │                           Title                            │
├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────────────┼────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http  │ CVE-2026-33870 │ HIGH     │ fixed  │ 4.2.9.Final       │ 4.1.132.Final, 4.2.10.Final │ io.netty/netty-codec-http: Netty: Request smuggling via    │
│                            │                │          │        │                   │                             │ incorrect parsing of HTTP/1.1 chunked transfer encoding... │
│                            │                │          │        │                   │                             │ https://avd.aquasec.com/nvd/cve-2026-33870                 │
├────────────────────────────┼────────────────┤          │        │                   ├─────────────────────────────┼────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http2 │ CVE-2026-33871 │          │        │                   │ 4.1.132.Final, 4.2.11.Final │ netty: Netty: Denial of Service via HTTP/2 CONTINUATION    │
│                            │                │          │        │                   │                             │ frame flood                                                │
│                            │                │          │        │                   │                             │ https://avd.aquasec.com/nvd/cve-2026-33871                 │
└────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────────────┴────────────────────────────────────────────────────────────┘

pom.xml (pom)
=============
Total: 4 (HIGH: 4, CRITICAL: 0)

┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────────────┬────────────────────────────────────────────────────────────┐
│          Library           │ Vulnerability  │ Severity │ Status │ Installed Version │        Fixed Version        │                           Title                            │
├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────────────┼────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http  │ CVE-2026-33870 │ HIGH     │ fixed  │ 4.2.9.Final       │ 4.1.132.Final, 4.2.10.Final │ io.netty/netty-codec-http: Netty: Request smuggling via    │
│                            │                │          │        │                   │                             │ incorrect parsing of HTTP/1.1 chunked transfer encoding... │
│                            │                │          │        │                   │                             │ https://avd.aquasec.com/nvd/cve-2026-33870                 │
│                            │                │          │        │                   │                             │                                                            │
│                            │                │          │        │                   │                             │                                                            │
│                            │                │          │        │                   │                             │                                                            │
│                            │                │          │        │                   │                             │                                                            │
├────────────────────────────┼────────────────┤          │        │                   ├─────────────────────────────┼────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http2 │ CVE-2026-33871 │          │        │                   │ 4.1.132.Final, 4.2.11.Final │ netty: Netty: Denial of Service via HTTP/2 CONTINUATION    │
│                            │                │          │        │                   │                             │ frame flood                                                │
│                            │                │          │        │                   │                             │ https://avd.aquasec.com/nvd/cve-2026-33871                 │
│                            │                │          │        │                   │                             │                                                            │
│                            │                │          │        │                   │                             │                                                            │
│                            │                │          │        │                   │                             │                                                            │
│                            │                │          │        │                   │                             │                                                            │
└────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────────────┴────────────────────────────────────────────────────────────┘

server/jikkou-api-server/pom.xml (pom)
======================================
Total: 2 (HIGH: 2, CRITICAL: 0)

┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────────────┬────────────────────────────────────────────────────────────┐
│          Library           │ Vulnerability  │ Severity │ Status │ Installed Version │        Fixed Version        │                           Title                            │
├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────────────┼────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http  │ CVE-2026-33870 │ HIGH     │ fixed  │ 4.2.9.Final       │ 4.1.132.Final, 4.2.10.Final │ io.netty/netty-codec-http: Netty: Request smuggling via    │
│                            │                │          │        │                   │                             │ incorrect parsing of HTTP/1.1 chunked transfer encoding... │
│                            │                │          │        │                   │                             │ https://avd.aquasec.com/nvd/cve-2026-33870                 │
├────────────────────────────┼────────────────┤          │        │                   ├─────────────────────────────┼────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http2 │ CVE-2026-33871 │          │        │                   │ 4.1.132.Final, 4.2.11.Final │ netty: Netty: Denial of Service via HTTP/2 CONTINUATION    │
│                            │                │          │        │                   │                             │ frame flood                                                │
│                            │                │          │        │                   │                             │ https://avd.aquasec.com/nvd/cve-2026-33871                 │
└────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────────────┴────────────────────────────────────────────────────────────┘

_{Scanned by Trivy}

[sonarqubecloud]

Quality Gate failed

Failed conditions
47.8% Coverage on New Code (required ≥ 80%)

See analysis details on SonarQube Cloud