Add C4 OWASP ZAP DAST pipeline

[r2WillDev]

Resumo

Este PR adiciona o cenário C4 do experimento, integrando OWASP ZAP como ferramenta DAST ao pipeline já composto por SAST com SonarQube e SCA com Trivy.

Alterações principais

• Criação do workflow c4-sast-sca-dast.yml.
• Inclusão do OWASP ZAP Baseline Scan em modo report-only.
• Geração de relatórios ZAP em HTML, JSON e Markdown.
• Coleta de métricas de tempo da etapa dast_zap_baseline.
• Coleta de alertas ZAP por severidade.
• Ajuste da imagem Kubernetes usada no C4.
• Criação dos CSVs base do C4.
• Documentação da Etapa 8 em docs/08-c4-zap-dast.md.

Resultados

O pipeline C4 foi executado com sucesso, gerando:

• métricas de tempo por etapa;
• resumo de vulnerabilidades Trivy;
• resumo de alertas OWASP ZAP;
• artifacts com relatórios HTML, JSON e Markdown;
• 5 execuções/tentativas válidas para análise experimental.

Observação metodológica

O OWASP ZAP foi executado em modo Baseline Scan, sem active scan completo, pois o objetivo desta etapa é medir o impacto do DAST no lead time do pipeline CI/CD.