chore(ci): enforce Trivy container scan after audit window

[arn0ld87]

Follow-up zu #353.

Kontext

Der erste Trivy-Container-Scan laeuft warning-only (exit-code: "0") und laedt SARIF ins Code-Scanning-Dashboard hoch.

Akzeptanz

• Nach mindestens 2 Wochen Trivy-SARIF-Findings auswerten.
• Fixbare HIGH/CRITICAL Findings beheben oder mit Owner/Deadline ins docu/dependency-risk-register.md aufnehmen.
• Danach Trivy auf exit-code: "1" umstellen.
• ignore-unfixed: true beibehalten oder pro Finding begruendet anpassen.

Abhaengigkeit

Blockiert bis #353 gemerged ist und erste SARIF-Ergebnisse aus Remote-Runs vorliegen.

[google-labs-jules]

Jules has failed to create a task. You can try again later by removing and re-adding the 'jules' label.