Что такое security scanning в CI/CD pipeline?

Security scanning = shift-left подход: ловить уязвимости в pipeline до production. Типы: SAST (Static Application Security Testing) — анализ кода без запуска (Semgrep, CodeQL, SonarQube), SCA (Software Composition Analysis) — уязвимости в зависимостях (Snyk, Dependabot, OWASP Dependency-Check), Container Scanning — CVE в образах (Trivy, Grype, Snyk Container), IaC Scanning — misconfigs в Terraform/k8s manifests (Checkov, KICS, tfsec), DAST — динамическое тестирование запущенного приложения (OWASP ZAP). GitHub Advanced Security объединяет несколько инструментов.