SCM (ソース管理管理) セキュリティは、CI/CD パイプライン全体へのエントリ ポイントとして機能するため、非常に重要です。このリポジトリには、SCM (現在は GitHub の) 組織/リポジトリ/ユーザー アカウントのセキュリティを検証するポリシーが含まれています。ポリシーは、Open Policy Agent (OPA) を使用して評価されます。
どのアカウントが評価されるかに応じて、さまざまなポリシーのセットがあります。ほとんどのポリシーは、組織の所有者にのみ関連します。以下のルールセットのセクションを参照してください。
ポリシーは特定の状態に対して評価されます。初めて実行されるとき、状態は空です。返されたデータを確認し、セキュリティ体制を手動で評価する必要があります (各モジュールからの推奨事項を使用して)。州が承認された場合は、次のポリシーの評価で州の変化を追跡できるように、その州を入力データに追加する必要があります。各モジュールに設定可能な状態の詳細については、各モジュールの対応するセクションを参照してください。