A segurança SCM (Source Control Management) é de grande importância, pois serve como um ponto de entrada para todo o pipeline de CI/CD. Este repositório contém políticas que verificam a segurança da organização/repositórios/contas de usuário do SCM (atualmente GitHub). As políticas são avaliadas usando Open Policy Agent (OPA).
Existem diferentes conjuntos de políticas dependendo de qual conta está sendo avaliada. A maioria das políticas são relevantes apenas para proprietários de organizações. Veja a seção de conjuntos de regras abaixo.
As políticas são avaliadas em relação a um determinado estado. Quando executado pela primeira vez, o estado fica vazio. Os dados retornados deverão ser revisados e a postura de segurança avaliada manualmente (com recomendações de cada módulo). Se o estado for aprovado, deverá ser adicionado aos dados de entrada, para que a próxima avaliação das políticas acompanhe as mudanças do estado. Mais informações sobre o estado configurável para cada módulo estão disponíveis na seção correspondente de cada módulo.