構成管理をリポジトリで行う案

が、これでは「GUIなので開発体験が悪い」「面倒くさい」「製品がでかくなりがち（Black Duckも本格的なBtoBだし、この界隈は基本的にBtoB）」になってしまう……

どうすればもっとオープンかつアジリティにできるのか

管理内容をファイルとして保存して、リポジトリに置く → この路線しかあるまい？

構成情報を示したファイルはSBOM

構成情報各々に対して「たしかにレビューしました」という管理情報を示したファイル

構成情報内の脆弱性情報各々に対して「たしかに対処しました」という管理情報を示したファイル

これができれば、開発者達はテキストエディタベースで状況を更新できる。