Gehoste Forgejo met beheerde CI/CD-runners en een geselecteerde, security-gescande actions-marketplace. Inbegrepen, niet bring-your-own. Alles blijft op EU-infrastructuur, onder een jurisdictie die je in een contract kunt benoemen.
BorgMark is gehoste Forgejo met de onderdelen die een security review werkelijk controleert ingebouwd, zo schakel je over in een namiddag, niet in een kwartaal.
Het open-source Git-platform dat je team al kent. Pull requests, issues, code review, mirroring. Niets opnieuw te leren.
Beheerde CI/CD-runners horen erbij. Geen Hetzner-box om te voorzien, patchen of uit te leggen in een audit. Push, en het draait in de EU.
Een geselecteerde, security-gescande actions-marketplace. Het gemak van een actions-ecosysteem zonder dat je een ongecontroleerde supplychain in je pipeline overerft.
Repositories, artefacten en logs blijven op EU-infrastructuur onder EU-jurisdictie. Een locatie die je in een contract kunt benoemen.
Standaard Git eronder en een open-source kern: je exit is één clone weg. Auditeerbaar, geen black box.
Mirror binnen vanaf GitHub of GitLab met historie, issues en CI intact. Verplaats eerst één vastgelopen project, of de hele org.
Broncode, runners, artefacten en logs blijven op EU-infrastructuur. Geen verborgen hop naar een US-regio, en niets dat jij moet aansluiten om dat waar te maken.
Je verkoopt aan een bank, een ziekenhuis, een overheidsafnemer. De pilot werkte, het contract is opgesteld. Dan stuurt hun security-team de vragenlijst, en die vraagt waar je broncode en CI draaien, onder welk recht, en wie gedwongen kan worden om erbij te komen. "Het staat op GitHub" is geen eenregelig antwoord meer.
Europese rechtspraak heeft datadoorgifte naar US-gecontroleerde tooling iets gemaakt waar de juristen van de afnemer schriftelijk naar vragen, en een antwoord op verwachten.
Aanbieders met een US-moeder kunnen onderworpen zijn aan een US-rechtsgang, zelfs als de data op Europese schijven staat. De vragenlijst vraagt naar jurisdictie, niet naar de postcode van het datacenter.
Gereguleerde afnemers moeten verantwoording afleggen over de security van hun leveranciers. Jouw toolchain duikt op in hun audit, die moet dus stand kunnen houden.
Forgejo op een Hetzner-box zetten brengt je code in de EU. Het levert je geen subverwerker om op te nemen, geen DPA die de juristen van je afnemer kunnen mede-ondertekenen, geen verklaring dat geen US-moeder onder de CLOUD Act gedwongen kan worden, en geen auditlogs waar een derde partij voor instaat. De vragenlijst vraagt niet waar de bits liggen. Ze vraagt wie verantwoording aflegt, zwart op wit. Dat is wat je koopt, en dat is het ene wat je niet zelf kunt hosten.
De concrete vragen die deals met gereguleerde afnemers doen stranden, en wat BorgMark je in het vakje laat schrijven.
Begin met een 14-daagse trial met volledige toegang op Walled Garden. Stap over naar Sovereign Fortress wanneer een afnemer dedicated infrastructuur vereist.
Voor productteams van 5 tot 15 personen. Je eigen organisatie, volledig geïsoleerd op EU-infrastructuur.
Voor wanneer je de gereguleerde deal wint en de afnemer dedicated infrastructuur vereist.
Alles uit Walled Garden, plus:
Ja. De open-source Forgejo-forge, door ons gehost en beheerd in de EU, met beheerde CI runners en een geselecteerde, security-gescande actions-marketplace erbij. Geen proprietary fork waaraan je vastzit.
Ja. Repo's mirroren binnen met volledige historie; issues en pipelines komen mee. Verplaats eerst één vastgelopen project en breid van daaruit uit.
Op EU-infrastructuur, in een regio die we in je contract benoemen. Geen replicatie naar niet-EU-regio's, en de buildpipeline draait in dezelfde jurisdictie.
Alleen via een EU-rechtsgang. Er is geen US-moederbedrijf, dus de US CLOUD Act reikt er niet bij, precies het punt dat je voor een afnemer zwart op wit kunt zetten.
Zelf hosten brengt je code in de EU, maar niet het papierwerk dat een security review wil: een subverwerker om op te nemen, een DPA om mede te ondertekenen, een onafhankelijke verklaring zonder US-moeder, auditlogs waar iemand voor instaat. Je koopt een aanspreekbare partij, geen server.
Het haalt een terugkerende bevinding weg: een extern gecontroleerde toolchain onder buitenlandse jurisdictie, en een ongecontroleerde CI-supplychain. Geen certificaat op zich, maar wel een antwoord dat een auditor accepteert.
Standaard Git plus open formaten betekent een volledige export op verzoek. Je exitkost is een clone, geen heronderhandeling.
Meld je aan op Walled Garden voor een 14-daagse trial met volledige toegang. Voor Sovereign Fortress richten wij je dedicated tenant in. Neem eerst contact op.