SCM-beveiliging (Source Control Management) is van groot belang omdat het dient als toegangspunt tot de gehele CI/CD-pijplijn. Deze repository bevat beleid dat de beveiliging van de organisatie/repository's/gebruikersaccounts van SCM (momenteel GitHub) verifieert. Het beleid wordt geëvalueerd met behulp van Open Policy Agent (OPA).
Er zijn verschillende sets beleid, afhankelijk van welk account wordt geëvalueerd. Het meeste beleid is alleen relevant voor organisatie-eigenaren. Zie het gedeelte met regelsets hieronder.
Het beleid wordt beoordeeld aan de hand van een bepaalde staat. Wanneer het voor de eerste keer wordt uitgevoerd, is de status leeg. De geretourneerde gegevens moeten worden beoordeeld en de beveiligingssituatie moet handmatig worden geëvalueerd (met aanbevelingen uit elke module). Als de staat wordt goedgekeurd, moet deze worden toegevoegd aan de invoergegevens, zodat de volgende beleidsevaluatie de veranderingen in de staat kan volgen. Meer informatie over de voor elke module configureerbare status is beschikbaar in de overeenkomstige sectie van elke module.