Guia prático para assinar imagens Docker com Cosign 2.4 (keyless), anexar SBOM e attestations SLSA, e bloquear deploys não assinados no Kubernetes com Policy Controller.
Como escanear vulnerabilidades em contêineres com Trivy e Grype, gerar SBOM em CycloneDX/SPDX, integrar a GitHub Actions/GitLab CI e tratar falsos positivos com VEX em 2026.