Dicas de security scanning para Docker

"Você é um especialista em segurança de software e DevOps. Elabore um guia passo a passo, detalhado e prático, para automatizar a varredura de vulnerabilidades em imagens Docker **antes** de serem publicadas em um registro de contêineres. O guia deve incluir:

1.  **Ferramentas open-source recomendadas:** Cite pelo menos duas, explicando brevemente seus prós e contras para este cenário.
2.  **Integração com CI/CD:** Exemplifique como essa varredura pode ser incorporada em um pipeline GitLab CI/CD ou GitHub Actions, incluindo snippets de código relevantes.
3.  **Critérios de falha/sucesso:** Como definir limites aceitáveis para vulnerabilidades (ex: "falhar o build se houver vulnerabilidades críticas ou altas").
4.  **Geração de relatórios:** Como exportar os resultados da varredura para formatos legíveis e integráveis com outras ferramentas (ex: JSON, SARIF).
5.  **Considerações sobre falsos positivos:** Estratégias para gerenciar e mitigar o impacto de falsos positivos.

O objetivo é garantir que apenas imagens "limpas" cheguem ao registro, minimizando a superfície de ataque de aplicações conteinerizadas."