Juridiction UE · CI/CD gérée · Actions scannées pour la sécurité

L'alternative UE à GitHub avec les runners et la marketplace intégrés.

Forgejo hébergé avec runners CI/CD gérés et une marketplace d'actions sélectionnée et scannée pour la sécurité. Incluse, pas bring-your-own. Tout reste sur infrastructure UE, sous une juridiction que vous pouvez nommer dans un contrat.

Runners gérés, aucun serveur de build à exploiter Cœur open-source, la sortie est un clone Données uniquement dans l'UE
borgmark.eu / northstar / gov-tender-api
LOCALISATION Frankfurt, DE 🇩🇪
JURIDICTION EU · GDPR
SOUS-TRAITANTS UE uniquement
CODE SOURCE Ouvert · auditable
pipeline #418 · main exécuté dans l'UE ●
1
build
2
test
3
scan
4
ship
Ce que vous obtenez

Une plateforme Git familière. Souveraine par construction.

BorgMark, c'est Forgejo hébergé avec les éléments qu'un audit de sécurité vérifie réellement. Vous basculez en un après-midi, pas en un trimestre.

Use the Forge, Luke.

La plateforme Git open-source que votre équipe connaît déjà. Pull requests, tickets, revue de code, mirroring. Rien à réapprendre.

Runners inclus, pas bring-your-own.

Les runners CI/CD gérés sont inclus. Aucune machine Hetzner à provisionner, patcher ou justifier en audit. Push, et ça tourne dans l'UE.

Une marketplace digne de confiance par défaut.

Une marketplace d'actions sélectionnée et scannée pour la sécurité. La commodité d'un écosystème d'actions sans hériter d'une supply chain non vérifiée dans votre pipeline.

Données dans l'UE, noir sur blanc.

Dépôts, artefacts et logs restent sur une infrastructure UE sous juridiction UE. Un emplacement nommable dans un contrat.

The Forge will be with you, always.

Du Git standard dessous et un cœur open-source : votre sortie est à un clone près. Auditable, pas une boîte noire.

Migration en une étape.

Mirroring depuis GitHub ou GitLab avec historique, tickets et CI intacts. Déplacez d'abord un projet bloqué, ou toute l'organisation.

Chaque build, dans l'UE

Le pipeline ne quitte jamais la juridiction.

Sources, runners, artefacts et logs restent sur l'infrastructure UE. Aucun saut caché vers une région américaine, et rien à câbler pour que ce soit vrai.

deploy · core-banking-api région : eu-central
clone
build
test
scan
ship
Aucune sortie hors UE · journalisé & exportable
Le deal que vous essayez de signer

Le dernier verrou n'est pas technique. Il est juridique.

Vous vendez à une banque, un hôpital, un acheteur public. La phase pilote a fonctionné, le contrat est rédigé. Puis leur équipe sécurité envoie le questionnaire, qui demande où s'exécutent votre code source et votre CI, sous quel droit, et qui pourrait être contraint d'y accéder. « C'est sur GitHub » n'est plus une réponse d'une ligne.

Schrems II

Le transfert légal est désormais une question écrite.

La jurisprudence européenne a fait du transfert de données vers des outils sous contrôle américain une question que les juristes de l'acheteur posent par écrit, et attendent une réponse.

US CLOUD Act

La juridiction, pas l'emplacement du serveur.

Les fournisseurs à maison mère américaine peuvent relever de procédures judiciaires américaines, même quand les données restent sur des disques européens. Le questionnaire interroge la juridiction, pas le code postal du centre de données.

NIS2 · DORA

La responsabilité de la chaîne retombe sur vous.

Les acheteurs régulés doivent rendre compte de la sécurité de leurs fournisseurs. Votre chaîne d'outils apparaît dans leur audit, elle doit donc tenir.

Vous pourriez aussi auto-héberger

Vous pouvez exploiter Forgejo vous-même. Vous ne pouvez pas signer votre propre DPA.

Monter Forgejo sur une machine Hetzner amène votre code dans l'UE. Cela ne vous donne pas un sous-traitant à citer, un DPA que les juristes de l'acheteur peuvent contresigner, une attestation qu'aucune maison mère américaine ne peut être contrainte au titre du CLOUD Act, ni des journaux d'audit qu'un tiers cautionne. Le questionnaire ne demande pas où sont les octets. Il demande qui est responsable, par écrit. C'est ce que vous achetez, et c'est la seule chose que vous ne pouvez pas auto-héberger.

Le facteur décisif

Des réponses pour le questionnaire de sécurité.

Les points concrets qui bloquent les deals avec des acheteurs régulés, et ce que BorgMark vous laisse écrire dans la case.

01 Où sont stockés le code source et les données de build ?
Centres de données UE uniquement, région nommée au contrat. Aucune réplication hors UE.
02 Le fournisseur relève-t-il d'une juridiction hors UE ?
Exploité dans l'UE, sans maison mère américaine, hors d'atteinte du CLOUD Act.
03 Listez tous les sous-traitants et leurs localisations.
Liste courte de sous-traitants basés dans l'UE, publiée et versionnée.
04 La plateforme peut-elle être auditée indépendamment ?
Cœur open-source, révisable, pas une boîte noire. Logs d'audit exportables.
05 Comment la supply chain CI/CD est-elle contrôlée ?
Une marketplace d'actions sélectionnée et scannée pour la sécurité. Aucune action tierce non vérifiée tirée dans votre pipeline.
06 Quel est le plan de sortie / portabilité ?
Git standard et formats ouverts. Export complet à la demande, aucun piège propriétaire.
Tarifs

Deux branches. Toutes deux restent dans l'UE.

Commencez par un essai de 14 jours en accès complet sur Walled Garden. Passez à Sovereign Fortress quand un acheteur exige une infrastructure dédiée.

Sovereign Fortress
€399 / mois · jusqu'à 20 utilisateurs

Pour quand vous remportez le deal régulé et que l'acheteur exige une infrastructure dédiée.

Tout ce qu'inclut Walled Garden, plus :

  • VM Forgejo mono-locataire
  • PostgreSQL dédié
  • Domaine personnalisé (git.votre-entreprise.com)
  • SAML/OIDC SSO
  • Support prioritaire · journaux d'audit conformité
  • Runners BYO sur demande
Nous contacter
Questions

Les objections, levées.

Oui. La forge open-source Forgejo, hébergée et exploitée par nos soins dans l'UE, avec runners CI gérés et une marketplace d'actions sélectionnée et scannée pour la sécurité en plus. Aucun fork propriétaire qui vous enferme.

Oui. Les dépôts arrivent en mirroring avec l'historique complet ; tickets et pipelines suivent. Déplacez d'abord un projet bloqué, puis étendez.

Sur une infrastructure UE, dans une région nommée à votre contrat. Aucune réplication hors UE, et le pipeline de build s'exécute dans la même juridiction.

Uniquement par une procédure judiciaire de l'UE. Pas de maison mère américaine, donc le CLOUD Act n'y a pas accès, le point que vous pouvez écrire noir sur blanc pour un acheteur.

L'auto-hébergement amène votre code dans l'UE mais pas les pièces qu'un audit de sécurité réclame : un sous-traitant à citer, un DPA à contresigner, une attestation indépendante d'absence de maison mère américaine, des journaux d'audit cautionnés. Vous achetez une contrepartie responsable, pas un serveur.

Cela retire un constat récurrent : une chaîne d'outils sous contrôle externe et juridiction étrangère, et une supply chain CI non vérifiée. Ce n'est pas un certificat en soi, mais une réponse qu'un auditeur accepte.

Git standard et formats ouverts : export complet à la demande. Votre coût de sortie est un clone, pas une renégociation.

Deux façons d'entrer

Faites de « où vit le code ? » une réponse d'une ligne.

Inscrivez-vous sur Walled Garden pour un essai de 14 jours en accès complet. Pour Sovereign Fortress, nous provisionnons votre tenant dédié. Contactez-nous d'abord.

Démarrer l'essai 14 jours