SCM(소스 제어 관리) 보안은 전체 CI/CD 파이프라인의 진입점 역할을 하므로 매우 중요합니다. 이 리포지토리에는 SCM(현재 GitHub의) 조직/리포지토리/사용자 계정 보안을 확인하는 정책이 포함되어 있습니다. 정책은 OPA(Open Policy Agent)를 사용하여 평가됩니다.
평가되는 계정에 따라 다양한 정책 세트가 있습니다. 대부분의 정책은 조직 소유자에게만 관련됩니다. 아래의 규칙 세트 섹션을 참조하세요.
정책은 특정 상태에 대해 평가됩니다. 처음 실행되면 상태가 비어 있습니다. 반환된 데이터를 검토하고 보안 상태를 수동으로 평가해야 합니다(각 모듈의 권장 사항 포함). 상태가 승인되면 입력 데이터에 추가해야 다음 정책 평가에서 상태 변경 사항을 추적할 수 있습니다. 각 모듈에 대해 구성 가능한 상태에 대한 자세한 내용은 각 모듈의 해당 섹션에서 확인할 수 있습니다.