Как интегрировать security testing в CI/CD?

Security in CI/CD: SAST при каждом PR (Semgrep, SonarQube). SCA при каждом PR (Snyk, npm audit). DAST при деплое на staging (OWASP ZAP Docker). Secret scanning (gitleaks). Container scanning (Trivy для Docker образов). Terraform security (checkov). Политика: высокая severity → блокируем merge. Средняя → создаём Jira и продолжаем. Security gate качества — как code coverage. Регулярный penetration test (раз в квартал/год). Bug bounty программа для внешнего поиска. DevSecOps — security как часть процесса, не отдельная фаза.