एससीएम (स्रोत नियंत्रण प्रबंधन) सुरक्षा अत्यधिक महत्वपूर्ण है क्योंकि यह संपूर्ण सीआई/सीडी पाइपलाइन के लिए प्रवेश बिंदु के रूप में कार्य करती है। इस रिपॉजिटरी में ऐसी नीतियां शामिल हैं जो SCM (वर्तमान में GitHub के) संगठन/रिपॉजिटरी/उपयोगकर्ता खातों की सुरक्षा को सत्यापित करती हैं। नीतियों का मूल्यांकन ओपन पॉलिसी एजेंट (ओपीए) का उपयोग करके किया जाता है।
किस खाते का मूल्यांकन किया जा रहा है, इसके आधार पर नीतियों के विभिन्न सेट हैं। अधिकांश नीतियाँ केवल संगठन स्वामियों के लिए प्रासंगिक हैं। नीचे दिए गए नियम-सेट अनुभाग देखें।
नीतियों का मूल्यांकन एक निश्चित राज्य के विरुद्ध किया जाता है। पहली बार निष्पादित होने पर, राज्य खाली होता है। लौटाए गए डेटा की समीक्षा की जानी चाहिए, और सुरक्षा स्थिति का मैन्युअल रूप से मूल्यांकन किया जाना चाहिए (प्रत्येक मॉड्यूल की सिफारिशों के साथ)। यदि राज्य अनुमोदित है, तो इसे इनपुट डेटा में जोड़ा जाना चाहिए, ताकि नीतियों का अगला मूल्यांकन राज्य के परिवर्तनों को ट्रैक कर सके। प्रत्येक मॉड्यूल के लिए कॉन्फ़िगर करने योग्य स्थिति के बारे में अधिक जानकारी प्रत्येक मॉड्यूल के संबंधित अनुभाग में उपलब्ध है।