Un mécanisme de politique en tant que code où les valeurs d'entrée autorisées, les appels API, les opérations de modèle ou les points de terminaison externes sont spécifiés dans une liste blanche, et les éléments interdits (par exemple, les champs d'informations personnelles identifiables, les fonctions non autorisées) sont énumérés dans une liste noire. Pendant l'exécution ou le fonctionnement du pipeline, les vérifications de la politique bloquent toute action non approuvée. Les processus de gouvernance maintiennent et examinent ces listes régulièrement afin de s'adapter aux risques et exigences qui évoluent.