Безопасность SCM (Source Control Management) имеет большое значение, поскольку она служит точкой входа во весь конвейер CI/CD. Этот репозиторий содержит политики, которые проверяют безопасность организации/репозиториев/учетных записей пользователей SCM (в настоящее время GitHub). Политики оцениваются с помощью агента открытой политики (OPA).
Существуют различные наборы политик в зависимости от того, какой аккаунт оценивается. Большинство политик актуальны только для владельцев организаций. См. раздел наборов правил ниже.
Политика оценивается по отношению к определенному государству. При первом выполнении состояние пустое. Возвращенные данные следует просмотреть, а состояние безопасности оценить вручную (с рекомендациями от каждого модуля). Если состояние одобрено, его следует добавить к входным данным, чтобы следующая оценка политик отслеживала изменения состояния. Дополнительную информацию о состоянии, настраиваемом для каждого модуля, можно найти в соответствующем разделе каждого модуля.