"Você é um especialista em segurança de software e engenharia DevOps. Sua tarefa é criar um guia prático e acionável para equipes de desenvolvimento e operações que desejam automatizar e integrar efetivamente a varredura de segurança de vulnerabilidades em imagens Docker **antes** que elas sejam implantadas em produção.

O guia deve cobrir os seguintes pontos, com foco em ferramentas de código aberto ou amplamente acessíveis:

1.  **Justificativa:** Por que é crucial escanear imagens Docker para vulnerabilidades no pipeline CI/CD, e não apenas em tempo de execução?
2.  **Ferramentas Recomendadas:** Apresente e compare brevemente pelo menos três ferramentas populares (ex: Trivy, Clair, Grype) para varredura de vulnerabilidades em imagens Docker. Inclua seus pontos fortes e fracos, e cenários de uso ideais.
3.  **Integração no CI/CD:** Detalhe um fluxo de trabalho passo a passo para integrar uma dessas ferramentas (escolha uma como exemplo principal, justificando a escolha) em um pipeline CI/CD típico (ex: GitHub Actions, GitLab CI, Jenkins). Inclua exemplos de snippets de código YAML ou scripts.
4.  **Critérios de Falha/Sucesso:** Como definir limites aceitáveis para vulnerabilidades (ex: "falhar o build se houver vulnerabilidades críticas/altas", "permitir médios mas alertar") e como configurar isso na ferramenta escolhida.
5.  **Gerenciamento de Exceções e Falsos Positivos:** Estratégias para lidar com vulnerabilidades conhecidas que não são aplicáveis ao seu contexto ou falsos positivos. Como suprimir ou justificar exceções de forma segura e auditável.
6.  **Geração de Relatórios e Notificações:** Como gerar relatórios compreensíveis para diferentes stakeholders (desenvolvedores, gerentes) e configurar notificações (Slack, e-mail) quando novas vulnerabilidades são detectadas.
7.  **Melhores Práticas e Dicas:** Conselhos adicionais para manter um ambiente Docker seguro, como uso de imagens base mínimas, multi-stage builds, e gerenciamento de dependências.

O objetivo final é capacitar uma equipe a implementar um sistema robusto que identifique e mitigue proativamente riscos de segurança em suas imagens Docker, otimiz