Как сканировать Docker образы на уязвимости?

Docker Scout (встроен в Docker CLI), Trivy (опенсорс от Aqua), Snyk, Grype — сканируют образ на известные CVE в установленных пакетах. trivy image myimage:latest быстро покажет vulnerabilities с severity. Встраивают в CI pipeline: если есть CRITICAL — сборка падает. Регулярно обновляй базовые образы, это 80% уязвимостей. Distroless и scratch минимизируют поверхность атаки.