Как настроить compliance scanning в CI/CD?

Compliance scanning = автоматическая проверка что код и инфраструктура соответствуют политикам. Инструменты: Checkov — сканирует Terraform/k8s/CloudFormation на misconfigs и CVE; tfsec — Terraform security scanner; kube-score/kube-linter для k8s manifests; OPA Conftest для кастомных политик в Rego; Trivy — всё в одном (container, IaC, code). В CI: запускать на каждый PR, блокировать merge при Critical findings. Remediation SLA: Critical — блокирует PR, High — fix в 7 дней, Medium — backlog. Policy-as-code позволяет версионировать правила и делать исключения.