La sicurezza SCM (Source Control Management) è di grande importanza poiché funge da punto di ingresso per l'intera pipeline CI/CD. Questo repository contiene policy che verificano la sicurezza dell'organizzazione/dei repository/degli account utente di SCM (attualmente di GitHub). Le politiche vengono valutate utilizzando Open Policy Agent (OPA).
Esistono diversi insiemi di policy a seconda dell'account da valutare. La maggior parte delle policy sono rilevanti solo per i proprietari dell'organizzazione. Vedi la sezione delle regole qui sotto.
Le politiche vengono valutate rispetto a un determinato stato. Quando viene eseguito per la prima volta, lo stato è vuoto. I dati restituiti dovrebbero essere esaminati e il livello di sicurezza dovrebbe essere valutato manualmente (con raccomandazioni da ciascun modulo). Se lo stato viene approvato, dovrebbe essere aggiunto ai dati di input, in modo che la successiva valutazione delle politiche tenga traccia dei cambiamenti dello stato. Maggiori informazioni sullo stato configurabile per ciascun modulo sono disponibili nella sezione corrispondente di ciascun modulo.