SCM(源代码控制管理)安全性非常重要,因为它是整个 CI/CD 管道的入口点。此存储库包含验证 SCM(当前 GitHub 的)组织/存储库/用户帐户安全性的策略。使用开放策略代理 (OPA) 评估策略。
根据评估的帐户不同,有不同的策略集。大多数政策仅与组织所有者相关。请参阅下面的规则集部分。
这些政策是针对特定状态进行评估的。第一次执行时,状态为空。应审查返回的数据,并手动评估安全状况(使用每个模块的建议)。如果状态被批准,则应将其添加到输入数据中,以便下次政策评估跟踪状态的变化。有关每个模块的可配置状态的更多信息,请参阅每个模块的相应部分。