Melhores práticas de segurança em devops para DevOps

"Considerando que a segurança é uma preocupação crescente na cultura DevOps, e que a automação é fundamental para escalar as práticas de segurança, como um modelo de IA de grande escala, você poderia desenvolver um roteiro detalhado para implementar um pipeline de CI/CD que integre testes de segurança automatizados (SAST, DAST, SCA) em cada estágio do ciclo de desenvolvimento de software (SDLC), desde o commit de código até a implantação em produção? O roteiro deve incluir:

1.  **Ferramentas e Tecnologias Sugeridas:** Exemplos de ferramentas open-source e comerciais para cada tipo de teste de segurança e para a orquestração do pipeline (CI/CD).
2.  **Pontos de Integração no Pipeline:** Onde exatamente cada tipo de teste de segurança (SAST, DAST, SCA) deve ser executado no pipeline de CI/CD (ex: pré-commit, durante o build, pré-deploy, pós-deploy).
3.  **Critérios de Falha e Políticas de Gate:** Definição de critérios claros para falha do pipeline baseados nos resultados dos testes de segurança (ex: número de vulnerabilidades críticas, falha em conformidade com políticas de segurança).
4.  **Tratamento de Falsos Positivos e Exceções:** Estratégias para gerenciar falsos positivos e como criar exceções documentadas para vulnerabilidades específicas, sem comprometer a segurança.
5.  **Feedback para Desenvolvedores:** Mecanismos eficazes para fornecer feedback rápido e acionável aos desenvolvedores sobre as vulnerabilidades encontradas, incluindo a integração com sistemas de rastreamento de issues.
6.  **Monitoramento Contínuo e Resposta a Incidentes:** Como estender a segurança para a fase de operação, incluindo monitoramento de segurança em tempo real e planos de resposta a incidentes para vulnerabilidades descobertas em produção.
7.  **Métricas e Relatórios:** Quais métricas de segurança devem ser coletadas e como gerar relatórios compreensíveis para diferentes stakeholders (desenvolvedores, gerência, auditores)."