EU-jurisdictie · Beheerde CI/CD · Security-gescande actions

Het EU-alternatief voor GitHub met de runners en de marketplace ingebouwd.

Gehoste Forgejo met beheerde CI/CD-runners en een geselecteerde, security-gescande actions-marketplace. Inbegrepen, niet bring-your-own. Alles blijft op EU-infrastructuur, onder een jurisdictie die je in een contract kunt benoemen.

Beheerde runners, geen buildserver te draaien Open-source kern, exit is een clone Data uitsluitend in de EU
borgmark.eu / northstar / gov-tender-api
DATALOCATIE Frankfurt, DE 🇩🇪
JURISDICTIE EU · GDPR
SUBVERWERKERS Alleen in de EU
BRONCODE Open · auditeerbaar
pipeline #418 · main draait in de EU ●
1
build
2
test
3
scan
4
ship
Wat je krijgt

Een vertrouwd Git-platform. Soeverein van constructie.

BorgMark is gehoste Forgejo met de onderdelen die een security review werkelijk controleert ingebouwd, zo schakel je over in een namiddag, niet in een kwartaal.

Use the Forge, Luke.

Het open-source Git-platform dat je team al kent. Pull requests, issues, code review, mirroring. Niets opnieuw te leren.

Runners inbegrepen, geen bring-your-own.

Beheerde CI/CD-runners horen erbij. Geen Hetzner-box om te voorzien, patchen of uit te leggen in een audit. Push, en het draait in de EU.

Een marketplace die je standaard kunt vertrouwen.

Een geselecteerde, security-gescande actions-marketplace. Het gemak van een actions-ecosysteem zonder dat je een ongecontroleerde supplychain in je pipeline overerft.

EU-datalocatie, zwart op wit.

Repositories, artefacten en logs blijven op EU-infrastructuur onder EU-jurisdictie. Een locatie die je in een contract kunt benoemen.

The Forge will be with you, always.

Standaard Git eronder en een open-source kern: je exit is één clone weg. Auditeerbaar, geen black box.

Migratie in één stap.

Mirror binnen vanaf GitHub of GitLab met historie, issues en CI intact. Verplaats eerst één vastgelopen project, of de hele org.

Elke build, in de EU

De pipeline verlaat de jurisdictie nooit.

Broncode, runners, artefacten en logs blijven op EU-infrastructuur. Geen verborgen hop naar een US-regio, en niets dat jij moet aansluiten om dat waar te maken.

deploy · core-banking-api regio: eu-central
clone
build
test
scan
ship
Geen egress buiten de EU · gelogd & exporteerbaar
De deal die je probeert te sluiten

De laatste horde is niet technisch. Ze is juridisch.

Je verkoopt aan een bank, een ziekenhuis, een overheidsafnemer. De pilot werkte, het contract is opgesteld. Dan stuurt hun security-team de vragenlijst, en die vraagt waar je broncode en CI draaien, onder welk recht, en wie gedwongen kan worden om erbij te komen. "Het staat op GitHub" is geen eenregelig antwoord meer.

Schrems II

Rechtmatige doorgifte is nu een schriftelijke vraag.

Europese rechtspraak heeft datadoorgifte naar US-gecontroleerde tooling iets gemaakt waar de juristen van de afnemer schriftelijk naar vragen, en een antwoord op verwachten.

US CLOUD Act

Jurisdictie, niet serverlocatie.

Aanbieders met een US-moeder kunnen onderworpen zijn aan een US-rechtsgang, zelfs als de data op Europese schijven staat. De vragenlijst vraagt naar jurisdictie, niet naar de postcode van het datacenter.

NIS2 · DORA

Verantwoording in de keten komt bij jou terecht.

Gereguleerde afnemers moeten verantwoording afleggen over de security van hun leveranciers. Jouw toolchain duikt op in hun audit, die moet dus stand kunnen houden.

Je zou het ook zelf kunnen hosten

Je kunt Forgejo zelf draaien. Je kunt zelf geen DPA ondertekenen.

Forgejo op een Hetzner-box zetten brengt je code in de EU. Het levert je geen subverwerker om op te nemen, geen DPA die de juristen van je afnemer kunnen mede-ondertekenen, geen verklaring dat geen US-moeder onder de CLOUD Act gedwongen kan worden, en geen auditlogs waar een derde partij voor instaat. De vragenlijst vraagt niet waar de bits liggen. Ze vraagt wie verantwoording aflegt, zwart op wit. Dat is wat je koopt, en dat is het ene wat je niet zelf kunt hosten.

De doorslag

Antwoorden voor de security-vragenlijst.

De concrete vragen die deals met gereguleerde afnemers doen stranden, en wat BorgMark je in het vakje laat schrijven.

01 Waar worden broncode en builddata bewaard?
Uitsluitend EU-datacenters, regio benoemd in het contract. Geen replicatie naar niet-EU-regio's.
02 Valt de aanbieder onder niet-EU-jurisdictie?
EU-geëxploiteerd, geen US-moeder, buiten het bereik van de US CLOUD Act.
03 Geef alle subverwerkers en hun locaties.
Korte, EU-gebaseerde lijst van subverwerkers, gepubliceerd en geversioneerd.
04 Kan het platform onafhankelijk geauditeerd worden?
Open-source kern, controleerbaar, geen black box. Audit-logs exporteerbaar.
05 Hoe wordt de CI/CD-supplychain gecontroleerd?
Geselecteerde, security-gescande actions-marketplace. Geen ongecontroleerde third-party actions in je pipeline.
06 Wat is het exit-/portabiliteitsplan?
Standaard Git plus open formaten. Volledige export op verzoek, geen proprietary val.
Prijzen

Twee branches. Beide blijven in de EU.

Begin met een 14-daagse trial met volledige toegang op Walled Garden. Stap over naar Sovereign Fortress wanneer een afnemer dedicated infrastructuur vereist.

Sovereign Fortress
€399 / maand · tot 20 gebruikers

Voor wanneer je de gereguleerde deal wint en de afnemer dedicated infrastructuur vereist.

Alles uit Walled Garden, plus:

  • Single-tenant Forgejo-VM
  • Dedicated PostgreSQL
  • Eigen domein (git.je-bedrijf.com)
  • SAML/OIDC SSO
  • Priority support · compliance-auditlogs
  • BYO runners op aanvraag
Neem contact op
Vragen

De bezwaren, beantwoord.

Ja. De open-source Forgejo-forge, door ons gehost en beheerd in de EU, met beheerde CI runners en een geselecteerde, security-gescande actions-marketplace erbij. Geen proprietary fork waaraan je vastzit.

Ja. Repo's mirroren binnen met volledige historie; issues en pipelines komen mee. Verplaats eerst één vastgelopen project en breid van daaruit uit.

Op EU-infrastructuur, in een regio die we in je contract benoemen. Geen replicatie naar niet-EU-regio's, en de buildpipeline draait in dezelfde jurisdictie.

Alleen via een EU-rechtsgang. Er is geen US-moederbedrijf, dus de US CLOUD Act reikt er niet bij, precies het punt dat je voor een afnemer zwart op wit kunt zetten.

Zelf hosten brengt je code in de EU, maar niet het papierwerk dat een security review wil: een subverwerker om op te nemen, een DPA om mede te ondertekenen, een onafhankelijke verklaring zonder US-moeder, auditlogs waar iemand voor instaat. Je koopt een aanspreekbare partij, geen server.

Het haalt een terugkerende bevinding weg: een extern gecontroleerde toolchain onder buitenlandse jurisdictie, en een ongecontroleerde CI-supplychain. Geen certificaat op zich, maar wel een antwoord dat een auditor accepteert.

Standaard Git plus open formaten betekent een volledige export op verzoek. Je exitkost is een clone, geen heronderhandeling.

Twee manieren om te starten

Maak van "waar staat de code?" een antwoord van één regel.

Meld je aan op Walled Garden voor een 14-daagse trial met volledige toegang. Voor Sovereign Fortress richten wij je dedicated tenant in. Neem eerst contact op.

Start 14-daagse trial