Melhores práticas de security scanning para Docker

"Você é um especialista em segurança de software e engenharia DevOps. Sua tarefa é criar um guia prático e acionável para equipes de desenvolvimento e operações que desejam automatizar e integrar a varredura de segurança de vulnerabilidades em imagens Docker **antes mesmo da imagem ser construída e empurrada para um registry**.

O guia deve focar em ferramentas de código aberto ou amplamente acessíveis e deve cobrir os seguintes pontos:

1.  **Justificativa:** Por que é crucial escanear imagens Docker *antes* do build/push.
2.  **Ferramentas e Métodos:** Apresentar pelo menos duas ferramentas de linha de comando populares (ex: Trivy, Grype, Clair) e explicar como integrá-las em pipelines de CI/CD (ex: GitHub Actions, GitLab CI, Jenkins).
3.  **Fluxo de Trabalho:** Detalhar um fluxo de trabalho passo a passo para escanear dependências (pacotes do sistema operacional, bibliotecas de linguagem) e configurações (Dockerfile) dentro do contexto de um processo de desenvolvimento. Inclua exemplos de comandos e trechos de código para arquivos de configuração de CI/CD.
4.  **Critérios de Falha (Gates):** Como definir e aplicar "gates" de segurança que impeçam a construção ou o push de imagens com vulnerabilidades críticas ou que não atendam aos padrões da organização.
5.  **Gerenciamento de Exceções:** Estratégias para lidar com falsos positivos ou vulnerabilidades conhecidas que não podem ser corrigidas imediatamente (ex: whitelisting temporário, justificativas documentadas).
6.  **Melhores Práticas:** Dicas adicionais para otimizar o processo (ex: imagens base minimalistas, multi-stage builds, uso de `.dockerignore`).

O tom deve ser técnico, mas claro e direto, visando ser um recurso valioso para engenheiros que buscam fortalecer a segurança de seus contêineres desde as fases iniciais do ciclo de vida do desenvolvimento."