Пресейл

По нашей недавней работе по рбпо по медицине. Прилител запрос на продолжение. Звучит примерно так:
Необходимо рассчитать стоимость работ (услуг) по предоставлению сервиса безопасной разработки в рамках конвейера SDLC и встраивания в процесс разработки (существующий конвейер).
В рамках встраивания в CI/CD требуется настроить SAST, фаззинг-сканирования.

Также отдельной строй/суммой требуется посчитать разработку отчетов по сканированию - раз в месяц и разработке/корректировке Руководства по безопасной разработке - раз в квартал.

Есть вопрос по организации процесса по анализу уязвимостей (SAST/Fuzzing) при непрерывной разработке.
Проект РЛП разделен на 3 этапа, в рамках каждого из этапов необходима разработка отчета по SAST/Fuzzing.
Могли бы подсказать как организовать процесс взаимодействия с таким образом, чтобы по каждому из этапов можно было сформировать отчет по сканированию.
Сейчас получили замечания по ранее направленному отчету, что перечень модулей не соответствует модулям, указанным в отчете.

Мы видим следующее решение - после разработки всех модулей этапа фиксировать ветку разработки и документации и все дальнейшие доработки проводить в отдельной ветке.
Есть ли от вас предложения по организации данного процесса исходя из вашего опыта?