構成管理をリポジトリで行う案
が、これでは「GUIなので開発体験が悪い」「面倒くさい」「製品がでかくなりがち(Black Duckも本格的なBtoBだし、この界隈は基本的にBtoB)」になってしまう……
どうすればもっとオープンかつアジリティにできるのか
管理内容をファイルとして保存して、リポジトリに置く → この路線しかあるまい?
構成情報を示したファイルはSBOM
同様に、以下が欲しいsta.icon*2
構成情報各々に対して「たしかにレビューしました」という管理情報を示したファイル
構成情報内の脆弱性情報各々に対して「たしかに対処しました」という管理情報を示したファイル
これができれば、開発者達はテキストエディタベースで状況を更新できる。