La seguridad SCM (Gestión de control de fuente) es de gran importancia ya que sirve como punto de entrada a todo el proceso de CI/CD. Este repositorio contiene políticas que verifican la seguridad de la organización, los repositorios y las cuentas de usuario de SCM (actualmente GitHub). Las políticas se evalúan utilizando Open Policy Agent (OPA).
Existen diferentes conjuntos de políticas según la cuenta que se esté evaluando. La mayoría de las políticas sólo son relevantes para los propietarios de las organizaciones. Consulte la sección de conjuntos de reglas a continuación.
Las políticas se evalúan frente a un determinado estado. Cuando se ejecuta por primera vez, el estado está vacío. Se deben revisar los datos devueltos y evaluar manualmente la postura de seguridad (con recomendaciones de cada módulo). Si se aprueba el estado, se debe agregar a los datos de entrada, de modo que la próxima evaluación de políticas rastree los cambios del estado. Más información sobre el estado configurable de cada módulo está disponible en el apartado correspondiente a cada módulo.