يعد أمان SCM (إدارة التحكم في المصدر) ذا أهمية كبيرة لأنه بمثابة نقطة دخول إلى خط أنابيب CI/CD بأكمله. يحتوي هذا المستودع على سياسات تتحقق من أمان مؤسسة/مستودعات/حسابات المستخدمين الخاصة بـ SCM (حاليًا GitHub). يتم تقييم السياسات باستخدام وكيل السياسة المفتوحة (OPA).
هناك مجموعات مختلفة من السياسات اعتمادًا على الحساب الذي يتم تقييمه. معظم السياسات ذات صلة بمالكي المؤسسات فقط. راجع قسم مجموعات القواعد أدناه.
يتم تقييم السياسات ضد دولة معينة. عند التنفيذ لأول مرة، تكون الحالة فارغة. يجب مراجعة البيانات التي تم إرجاعها وتقييم الوضع الأمني يدويًا (مع توصيات من كل وحدة). إذا تمت الموافقة على الحالة، فيجب إضافتها إلى بيانات الإدخال، بحيث يتتبع التقييم التالي للسياسات التغييرات في الحالة. يتوفر المزيد من المعلومات حول الحالة القابلة للتكوين لكل وحدة في القسم المقابل لكل وحدة.