Forgejo hébergé avec runners CI/CD gérés et une marketplace d'actions sélectionnée et scannée pour la sécurité. Incluse, pas bring-your-own. Tout reste sur infrastructure UE, sous une juridiction que vous pouvez nommer dans un contrat.
BorgMark, c'est Forgejo hébergé avec les éléments qu'un audit de sécurité vérifie réellement. Vous basculez en un après-midi, pas en un trimestre.
La plateforme Git open-source que votre équipe connaît déjà. Pull requests, tickets, revue de code, mirroring. Rien à réapprendre.
Les runners CI/CD gérés sont inclus. Aucune machine Hetzner à provisionner, patcher ou justifier en audit. Push, et ça tourne dans l'UE.
Une marketplace d'actions sélectionnée et scannée pour la sécurité. La commodité d'un écosystème d'actions sans hériter d'une supply chain non vérifiée dans votre pipeline.
Dépôts, artefacts et logs restent sur une infrastructure UE sous juridiction UE. Un emplacement nommable dans un contrat.
Du Git standard dessous et un cœur open-source : votre sortie est à un clone près. Auditable, pas une boîte noire.
Mirroring depuis GitHub ou GitLab avec historique, tickets et CI intacts. Déplacez d'abord un projet bloqué, ou toute l'organisation.
Sources, runners, artefacts et logs restent sur l'infrastructure UE. Aucun saut caché vers une région américaine, et rien à câbler pour que ce soit vrai.
Vous vendez à une banque, un hôpital, un acheteur public. La phase pilote a fonctionné, le contrat est rédigé. Puis leur équipe sécurité envoie le questionnaire, qui demande où s'exécutent votre code source et votre CI, sous quel droit, et qui pourrait être contraint d'y accéder. « C'est sur GitHub » n'est plus une réponse d'une ligne.
La jurisprudence européenne a fait du transfert de données vers des outils sous contrôle américain une question que les juristes de l'acheteur posent par écrit, et attendent une réponse.
Les fournisseurs à maison mère américaine peuvent relever de procédures judiciaires américaines, même quand les données restent sur des disques européens. Le questionnaire interroge la juridiction, pas le code postal du centre de données.
Les acheteurs régulés doivent rendre compte de la sécurité de leurs fournisseurs. Votre chaîne d'outils apparaît dans leur audit, elle doit donc tenir.
Monter Forgejo sur une machine Hetzner amène votre code dans l'UE. Cela ne vous donne pas un sous-traitant à citer, un DPA que les juristes de l'acheteur peuvent contresigner, une attestation qu'aucune maison mère américaine ne peut être contrainte au titre du CLOUD Act, ni des journaux d'audit qu'un tiers cautionne. Le questionnaire ne demande pas où sont les octets. Il demande qui est responsable, par écrit. C'est ce que vous achetez, et c'est la seule chose que vous ne pouvez pas auto-héberger.
Les points concrets qui bloquent les deals avec des acheteurs régulés, et ce que BorgMark vous laisse écrire dans la case.
Commencez par un essai de 14 jours en accès complet sur Walled Garden. Passez à Sovereign Fortress quand un acheteur exige une infrastructure dédiée.
Pour des équipes produit de 5 à 15 personnes. Votre propre organisation, totalement isolée sur infrastructure UE.
Pour quand vous remportez le deal régulé et que l'acheteur exige une infrastructure dédiée.
Tout ce qu'inclut Walled Garden, plus :
Oui. La forge open-source Forgejo, hébergée et exploitée par nos soins dans l'UE, avec runners CI gérés et une marketplace d'actions sélectionnée et scannée pour la sécurité en plus. Aucun fork propriétaire qui vous enferme.
Oui. Les dépôts arrivent en mirroring avec l'historique complet ; tickets et pipelines suivent. Déplacez d'abord un projet bloqué, puis étendez.
Sur une infrastructure UE, dans une région nommée à votre contrat. Aucune réplication hors UE, et le pipeline de build s'exécute dans la même juridiction.
Uniquement par une procédure judiciaire de l'UE. Pas de maison mère américaine, donc le CLOUD Act n'y a pas accès, le point que vous pouvez écrire noir sur blanc pour un acheteur.
L'auto-hébergement amène votre code dans l'UE mais pas les pièces qu'un audit de sécurité réclame : un sous-traitant à citer, un DPA à contresigner, une attestation indépendante d'absence de maison mère américaine, des journaux d'audit cautionnés. Vous achetez une contrepartie responsable, pas un serveur.
Cela retire un constat récurrent : une chaîne d'outils sous contrôle externe et juridiction étrangère, et une supply chain CI non vérifiée. Ce n'est pas un certificat en soi, mais une réponse qu'un auditeur accepte.
Git standard et formats ouverts : export complet à la demande. Votre coût de sortie est un clone, pas une renégociation.
Inscrivez-vous sur Walled Garden pour un essai de 14 jours en accès complet. Pour Sovereign Fortress, nous provisionnons votre tenant dédié. Contactez-nous d'abord.