Die SCM-Sicherheit (Source Control Management) ist von großer Bedeutung, da sie als Einstiegspunkt in die gesamte CI/CD-Pipeline dient. Dieses Repository enthält Richtlinien, die die Sicherheit der Organisation/Repositorys/Benutzerkonten von SCM (derzeit GitHub) überprüfen. Die Richtlinien werden mittels Open Policy Agent (OPA) ausgewertet.
Je nachdem, welches Konto ausgewertet wird, gibt es unterschiedliche Richtliniensätze. Die meisten Richtlinien sind nur für Organisationsinhaber relevant. Siehe den Abschnitt „Regelsätze“ unten.
Die Richtlinien werden anhand eines bestimmten Zustands bewertet. Bei der ersten Ausführung ist der Zustand leer. Die zurückgegebenen Daten sollten überprüft und der Sicherheitsstatus manuell bewertet werden (mit Empfehlungen aus jedem Modul). Wenn der Staat genehmigt wird, sollte er zu den Eingabedaten hinzugefügt werden, damit die nächste Bewertung der Richtlinien die Änderungen des Staates nachverfolgen kann. Weitere Informationen über den für jedes Modul konfigurierbaren Status finden Sie im entsprechenden Abschnitt des jeweiligen Moduls.