Генерують only model card, бо вона достатньо документує ризики, і сканують її на CVE.

Запускають SBOM на production кластері, щоб без черги відобразити CVE як помилку метрик.

Генерують SBOM (через trivy sbom або buildx), сканують його Trivy/Grype та блокують реліз при порушенні policy (CVE або заборонені пакети).

Складають Dockerfile, додають RUN apt-get upgrade, бо тоді образ вважається secure і SBOM зайвий.