EU-Jurisdiktion · Gemanagte CI/CD · Sicherheitsgeprüfte Actions

Die EU-Alternative zu GitHub mit Runnern und Marketplace eingebaut.

Gehostetes Forgejo mit gemanagten CI/CD-Runnern und einem kuratierten, sicherheitsgeprüften Actions-Marketplace. Inklusive, nicht bring-your-own. Alles bleibt auf EU-Infrastruktur, unter einer Jurisdiktion, die Sie im Vertrag nennen können.

Gemanagte Runner, kein Build-Server zu betreiben Open-Source-Kern, Ausstieg ist ein Clone Daten ausschließlich in der EU
borgmark.eu / northstar / gov-tender-api
DATENSTANDORT Frankfurt, DE 🇩🇪
JURISDIKTION EU · GDPR
AUFTRAGSVERARBEITER Nur in der EU
QUELLCODE Offen · prüfbar
Pipeline #418 · main läuft in der EU ●
1
build
2
test
3
scan
4
ship
Was Sie bekommen

Eine vertraute Git-Plattform. Souverän by construction.

BorgMark ist gehostetes Forgejo mit genau den Teilen, die ein Sicherheits-Review tatsächlich prüft, eingebaut. Sie wechseln an einem Nachmittag, nicht in einem Quartal.

Use the Forge, Luke.

Die Open-Source-Git-Plattform, die Ihr Team schon kennt. Pull Requests, Issues, Code Review, Mirroring. Nichts neu zu lernen.

Runner inklusive, kein bring-your-own.

Gemanagte CI/CD-Runner gehören dazu. Keine Hetzner-Maschine zu provisionieren, patchen oder im Audit zu erklären. Push, und es läuft in der EU.

Ein Marketplace, dem Sie standardmäßig vertrauen können.

Ein kuratierter, sicherheitsgeprüfter Actions-Marketplace. Der Komfort eines Actions-Ökosystems, ohne sich eine ungeprüfte Supply Chain in die Pipeline zu erben.

EU-Datenstandort, schriftlich.

Repositories, Artefakte und Logs bleiben auf EU-Infrastruktur unter EU-Jurisdiktion. Ein Standort, den Sie im Vertrag nennen können.

The Forge will be with you, always.

Standard-Git darunter und ein Open-Source-Kern: Ihr Ausstieg ist einen Clone entfernt. Prüfbar, keine Blackbox.

Migration in einem Schritt.

Mirroring von GitHub oder GitLab mit Historie, Issues und CI intakt. Erst ein hängengebliebenes Projekt verschieben, oder die ganze Org.

Jeder Build, in der EU

Die Pipeline verlässt die Jurisdiktion nie.

Quellcode, Runner, Artefakte und Logs bleiben auf EU-Infrastruktur. Kein versteckter Sprung in eine US-Region und nichts, was Sie dafür verkabeln müssten.

deploy · core-banking-api Region: eu-central
clone
build
test
scan
ship
Kein Egress außerhalb der EU · protokolliert & exportierbar
Der Deal, den Sie abschließen wollen

Die letzte Hürde ist nicht technisch. Sie ist juristisch.

Sie verkaufen an eine Bank, ein Krankenhaus, einen behördlichen Abnehmer. Der Pilot funktionierte, der Vertrag ist entworfen. Dann schickt deren Security-Team den Fragebogen, und der will wissen, wo Ihr Quellcode und Ihre CI laufen, unter welchem Recht und wer dazu gezwungen werden könnte, daran zu kommen. „Liegt auf GitHub“ ist keine einzeilige Antwort mehr.

Schrems II

Rechtmäßiger Transfer ist jetzt eine schriftliche Frage.

EU-Rechtsprechung hat die Datenübertragung an US-kontrollierte Tools zu etwas gemacht, das die Rechtsabteilung des Abnehmers schriftlich erfragt, und worauf sie eine Antwort erwartet.

US CLOUD Act

Jurisdiktion, nicht Serverstandort.

Anbieter mit US-Mutter können US-Rechtsverfahren unterliegen, auch wenn die Daten auf europäischen Festplatten liegen. Der Fragebogen fragt nach der Jurisdiktion, nicht nach der Postleitzahl des Rechenzentrums.

NIS2 · DORA

Verantwortung in der Lieferkette landet bei Ihnen.

Regulierte Abnehmer müssen die Sicherheit ihrer Lieferanten verantworten. Ihre Toolchain taucht in deren Audit auf, und muss dort tragen.

Sie könnten es auch selbst hosten

Forgejo können Sie selbst betreiben. Eine eigene AVV unterschreiben können Sie nicht.

Forgejo auf einer Hetzner-Maschine aufzusetzen bringt Ihren Code in die EU. Es bringt Ihnen keinen Auftragsverarbeiter, den Sie listen können, keine AVV, die die Juristen des Abnehmers gegenzeichnen können, keine Bestätigung, dass keine US-Mutter unter dem CLOUD Act gezwungen werden kann, und keine Audit-Logs, für die ein Dritter einsteht. Der Fragebogen fragt nicht, wo die Bytes liegen. Er fragt, wer schriftlich Rechenschaft trägt. Das ist das, was Sie kaufen, und das ist das eine, was Sie nicht selbst hosten können.

Der Unterschied

Antworten für den Sicherheitsfragebogen.

Die konkreten Punkte, an denen Deals mit regulierten Abnehmern hängenbleiben, und was BorgMark Sie ins Feld schreiben lässt.

01 Wo werden Quellcode und Build-Daten gespeichert?
Nur EU-Rechenzentren, Region im Vertrag benannt. Keine Replikation in Nicht-EU-Regionen.
02 Unterliegt der Anbieter einer Nicht-EU-Jurisdiktion?
In der EU betrieben, keine US-Mutter, außerhalb der Reichweite des US CLOUD Act.
03 Listen Sie alle Auftragsverarbeiter und Standorte.
Kurze, EU-basierte Liste der Auftragsverarbeiter, veröffentlicht und versioniert.
04 Kann die Plattform unabhängig auditiert werden?
Open-Source-Kern, überprüfbar, keine Blackbox. Audit-Logs exportierbar.
05 Wie wird die CI/CD-Supply-Chain kontrolliert?
Kuratierter, sicherheitsgeprüfter Actions-Marketplace. Keine ungeprüften Drittanbieter-Actions in Ihrer Pipeline.
06 Wie sieht der Exit-/Portabilitätsplan aus?
Standard-Git plus offene Formate. Vollständiger Export auf Anfrage, keine proprietäre Falle.
Preise

Zwei Branches. Beide bleiben in der EU.

Starten Sie mit einem 14-tägigen Trial mit Vollzugriff auf Walled Garden. Wechseln Sie zu Sovereign Fortress, wenn ein Abnehmer dedizierte Infrastruktur verlangt.

Sovereign Fortress
€399 / Monat · bis zu 20 Nutzer

Wenn Sie den regulierten Deal gewinnen und der Abnehmer dedizierte Infrastruktur verlangt.

Alles aus Walled Garden, plus:

  • Single-Tenant-Forgejo-VM
  • Dediziertes PostgreSQL
  • Eigene Domain (git.ihr-unternehmen.com)
  • SAML/OIDC SSO
  • Priority-Support · Compliance-Audit-Logs
  • BYO-Runner auf Anfrage
Kontakt aufnehmen
Fragen

Die Einwände, beantwortet.

Ja. Die Open-Source-Forge Forgejo, von uns in der EU gehostet und betrieben, mit gemanagten CI-Runnern und einem kuratierten, sicherheitsgeprüften Actions-Marketplace obendrauf. Kein proprietärer Fork, an dem Sie hängen.

Ja. Repos kommen per Mirroring mit voller Historie; Issues und Pipelines wandern mit. Verschieben Sie zuerst ein festgefahrenes Projekt und erweitern Sie von dort.

Auf EU-Infrastruktur, in einer in Ihrem Vertrag benannten Region. Keine Replikation in Nicht-EU-Regionen, und die Build-Pipeline läuft in derselben Jurisdiktion.

Nur über ein EU-Rechtsverfahren. Es gibt keine US-Mutter, also greift der US CLOUD Act nicht, genau der Punkt, den Sie einem Abnehmer schriftlich geben können.

Selbsthosten bringt Ihren Code in die EU, aber nicht das Papier, das ein Sicherheitsreview verlangt: einen Auftragsverarbeiter zum Listen, eine AVV zum Gegenzeichnen, eine unabhängige Bestätigung ohne US-Mutter, abgesicherte Audit-Logs. Sie kaufen einen rechenschaftspflichtigen Vertragspartner, keinen Server.

Es beseitigt einen wiederkehrenden Befund: eine extern kontrollierte Toolchain unter fremder Jurisdiktion und eine ungeprüfte CI-Supply-Chain. Kein Zertifikat für sich, aber eine Antwort, die ein Auditor akzeptiert.

Standard-Git plus offene Formate heißt vollständiger Export auf Anfrage. Ihre Ausstiegskosten sind ein Clone, keine Neuverhandlung.

Zwei Wege hinein

Machen Sie aus „Wo liegt der Code?“ eine einzeilige Antwort.

Melden Sie sich auf Walled Garden für einen 14-tägigen Trial mit Vollzugriff an. Für Sovereign Fortress richten wir Ihren dedizierten Tenant ein. Sprechen Sie uns vorher an.

14-Tage-Trial starten