La sécurité SCM (Source Control Management) est d’une grande importance car elle sert de point d’entrée à l’ensemble du pipeline CI/CD. Ce référentiel contient des politiques qui vérifient la sécurité de l'organisation/des référentiels/des comptes d'utilisateurs SCM (actuellement GitHub). Les politiques sont évaluées à l’aide d’Open Policy Agent (OPA).
Il existe différents ensembles de politiques en fonction du compte évalué. La plupart des politiques ne concernent que les propriétaires d’organisations. Voir la section sur les règles ci-dessous.
Les politiques sont évaluées par rapport à un certain état. Lors de la première exécution, l'état est vide. Les données renvoyées doivent être examinées et la posture de sécurité doit être évaluée manuellement (avec les recommandations de chaque module). Si l’État est approuvé, il doit être ajouté aux données d’entrée, afin que la prochaine évaluation des politiques suive les changements de l’État. Plus d’informations sur l’état configurable pour chaque module sont disponibles dans la section correspondante de chaque module.