GitHubを離れてForgejoへ移行する

• GitHubを離れる直接のきっかけは2026年4月の障害ではなく、GitHub上で実行されるコードとワークフローの所有権の問題である
• GitHubは2025年8月以降、独自のCEOを持たずMicrosoftのCoreAI divisionに編入され、コードはMicrosoftのAI組織配下に置かれることになった
• Copilot Free、Pro、Pro+は2026年4月から、インタラクションデータがデフォルトで学習データに使われるオプトアウト方式へ変更された
• GitHubとMicrosoftは米国企業であるため、FISA 702とCLOUD Actの管轄下にあり、EUのdata residencyだけでは解決しない
• Forgejo v15 LTSはcode.jorijn.comの単一のNUCで運用されており、runnerはKVM、gVisor、週次リビルド、egress filterで隔離されている

GitHubを離れる理由は障害ではなく所有権の問題

• 2026年4月の障害は開発者にとって十分深刻だったが、GitHubを離れる中核的な理由は障害そのものではなく、GitHub上で実行されるコードとワークフローの所有権にある
• 2026年4月27日、オランダ内務省は政府ソースコード向けのセルフホストForgejoインスタンスであるcode.overheid.nlをソフトローンチした
  • プロジェクトマネージャーのBoris Van Hoytemaは、省庁が法的にソースコードを「所有する場所」で公開しなければならないという要件から、このプラットフォームが始まったと述べた
  • Forgejoは完全なオープンソースであり、デジタル主権に必要な自由を提供することから、GitLabより優先して選ばれた
• 個人コードのデフォルトGitホストもcode.jorijn.comへ移行しており、Forgejo v15 LTSが単一のNUCの強化構成上で動作している
  • 一部のリポジトリはすでに移行済みで、残りは待機中である
  • 移行が完了したら公開GitHubリポジトリをアーカイブし、各アーカイブから新しい場所を指す計画である

障害とAI負荷

• 2026年4月23日、merge queueのsquash-mergeコードパスが、機能フラグの不完全なロールアウト後に658件のリポジトリと2,092件のpull requestで、すでにマージされたコミットを静かに巻き戻した
  • ModalやZiplineを含む企業が手動でデータを復旧した
  • 4日後には過負荷状態のElasticsearchクラスターにより、Pull Requests、Issues、Packagesが6時間以上停止した
• 2026年2月の1か月だけで37件のインシデントが記録されており、Actions、Copilot Coding Agent、Code Review、CodeQL、Dependabot、Pagesが同時に停止した3時間40分の障害も含まれている
• 2025年10月1日には10時間のmacOS runner障害が発生した
• IncidentHubの集計では、2025年5月から2026年4月までの間にGitHubは257件のインシデントと48件の重大障害を記録し、総ダウンタイムは約112時間だった
• GitHub CTOのVlad Fedorovは4月28日に謝罪し、2025年12月以降の「agentic AI workflow growth」による負荷に追従するには、容量を30倍に増やす必要があると明らかにした
  • 信頼性の問題はAI機能拡大の副次的な結果として解釈される
  • GitHubはAI機能を遅らせるのではなく、さらに強く推し進めている
• The Pragmatic Engineerは、GitLab、Bitbucket、Vercel、Linear、Sentryは同じ年を経験していないと指摘している
  • これらも開発者需要の圧力を受けているため、GitHubの障害パターンはGitHub固有の問題に見える

GitHubの組織変化

• 2025年8月11日、Thomas DohmkeがGitHub CEOを退任し、Microsoftは後任CEOを置かなかった
• GitHubはMicrosoftのCoreAI divisionに吸収された
  • CoreAIは、Satya Nadellaが2025年1月に紹介した組織で、1st-partyおよび3rd-party顧客向けのend-to-end CopilotとAI stackの構築を目標としている
• GitHubの売上、エンジニアリング、サポートはJulia Liusonの下でMicrosoft developer divisionにレポートされる
  • GitHub CPOはMicrosoft AI platform VPにレポートする
  • ブランドは残るが、独立したリーダーシップは消えた
• 2018年から2024年までは、MicrosoftがGitHubをある程度距離を置いて運営していたという評価は実質的に正しかったが、2025年8月以降はその前提を維持しにくくなった
• 現在github.comにコードをpushすることは、MicrosoftのAI組織配下のユニットにコードをpushすることを意味する

Copilot学習データのデフォルト変更

• GitHubは2026年3月25日、4月24日から適用されるプライバシーステートメント変更を発表した
  • Copilot Free、Pro、Pro+ユーザーのインタラクションデータ、とくに入力、出力、コード断片、関連コンテキストが、ユーザーが拒否しない限りAIモデルの学習と改善に使用される
• 中核的な変化は、opt-inではなくopt-outである点にある
  • Copilot Free、Pro、Pro+ユーザーは、Copilot設定ページで無効にしない限りモデル学習に貢献することになる
• リポジトリ単位のブロックが存在しない
  • 管理者は特定リポジトリ内のインタラクションを学習しないようGitHubに指定できない
  • オプトアウトはユーザーアカウントごとの設定であるため、各コントリビューターが自分で選択しなければならない
  • 結果として、Copilot Free/Pro/Pro+ユーザーがリポジトリを扱えば、ライセンスに関係なくコードベースが学習材料になり得る
• 非公開リポジトリの例外も限定的にしか適用されない
  • GitHubは非公開リポジトリの「at rest」コンテンツは学習に使用しないと述べている
  • しかし、非公開リポジトリ内でCopilotを使っている間に生成された「code snippets and interaction context」は収集する
  • 「静止状態のコード」と「編集中に生成された断片」の境界は曖昧である
• Copilot BusinessとCopilot Enterpriseの顧客は、別個のData Protection Agreementsが適用されるため除外される
  • 十分な費用を支払えばインタラクションは学習データにならず、そうでなければ学習データになる構造である
• GitHubのユーザーインタラクションデータに対する戦略的関心は、もはや選択的要素ではなく構造的要素になった

管轄権リスクはデータ所在地では解決しない

• GitHub Inc. と Microsoft Corp. は米国企業であり、これらが保有するデータは FISA Section 702 や 2018年のCLOUD Act を含む米国法の適用範囲に入る
  • これら2つの法律は、データが物理的にどこにあるかに関係なく適用されうる
• Section 702 は 2024年4月に2年間再承認され、2026年4月末に署名された 45日間の延長 によって維持されている
  • 米国内に所在する電子通信サービス提供者を通じて、非米国人を対象とした米国情報機関による収集を認める
• CLOUD Act は、米国に本社を置く企業に対し、世界のどこに保存されているデータであっても提出を強制できる
• GitHub は 2024年10月に Enterprise CloudのEU data residencyの一般提供 を発表した
  • これはデータ所在地の問題には対処するが、管轄権の問題は解決しない
  • CLOUD Act への露出は地理的位置ではなく、企業の支配構造に従う
• Microsoft 側の弁護士は 2025年6月のフランス上院公聴会で宣誓のうえ、欧州のMicrosoftデータセンターに保存されたフランスのデータが、秘匿された米国政府アクセスから安全だと保証できないと回答した
• コードが github.com にある限り、そのコードは米国の法的領域にある
  • EU data residency は安心材料にはなりうるが、解決策ではない

オランダ政府の code.overheid.nl 選定

• オランダ政府の選択の法的背景には、2020年から施行されている「Open, tenzij」政策がある
  • 公的資金で開発されたソフトウェアは、セキュリティや機密性が求められない限り、原則としてオープンソースになる
  • これを順守するには、省庁が実際に管理できる場所にコード公開先が必要だった
• 欧州委員会は 2022年9月から、自前でホスティングするGitLabベースの code.europa.eu を運営している
• ドイツの openCode もGitLabベースである
• フランスの code.gouv.fr は独自forgeではなく、他所でホスティングされているリポジトリを索引するアグリゲーターである
• オランダ政府はGitLabではなく Forgejo を意図的に選んだ
  • OSOR によれば、Forgejo が完全なオープンソースであり、open-core の分離がなく、デジタル主権に必要なあらゆる自由を提供する点が理由だった
  • Van Hoytema は、Forgejo のロードマップが代替案よりも「way more aligned」していたと付け加えている
• オランダ政府は、単なる主権的な forge ではなく、商用ベンダーのプレミアムティアの背後に閉じ込められない主権的な forge を求めていた
• 政府も同じ問題構図を見て同じ決定を下しており、Forgejo の選択をもはや周辺的な選択と見るのは難しい

Forgejo を選んだ理由

• GitLab も真剣に検討された
  • 自己ホスト型の GitLab CE はよく知られた選択肢であり、より大きな商用エコシステムと、より洗練された UI を備えている

• ライセンス

  • GitLab は open core モデルである
    • Community Edition は MIT ライセンスだが、運用環境で望まれる多くの機能は非自由ライセンスの Enterprise tier にある
  • Forgejo は逆方向に進んでいる
    • 2024年8月の v9.0 から、MIT から GPLv3+ へと再ライセンスされた
    • 明示的な目標は copyleft を維持し、コードベースの将来的な商業的囲い込みを防ぐことにある
  • Forgejo が 2022年12月に Gitea からフォーク された理由も、Gitea Ltd がコミュニティの同意なしに商標とドメインを管理していたためだった
    • その教訓がライセンス選択にも反映されている

• ガバナンス

  • Forgejo は Codeberg e.V. の下にある
    • Codeberg e.V. は 2018年9月からベルリンに登録されている非営利団体である
    • 会員が選出した理事会、公開予算、ホスティングインスタンス上の 300,000 以上のリポジトリを持つ
  • 会員は毎年予算に投票する
    • 2025年計画は賛成 88 票、反対 0 票、棄権 1 票で承認された

• リリースと成熟度

  • Forgejo v15.0 LTS は 2026年4月16日にリリース された
    • プロジェクトの100回目のリリースである
    • 長期サポートは 2027年7月15日まで続く
  • Forgejo Actions は v15 で必要な水準に到達した
    • ephemeral runner、OpenID Connect、reusable workflow expansion が含まれる
  • フォーク以降のリリースは着実で、月次レポートも活発である

• 商用エコシステムの限界

  • Forgejo の商用エコシステムは存在するが、薄い
  • 現時点で最も整った商用製品は Codey by VSHN である
    • 2025年3月に Servala で公開された、スイスでホスティングされるマネージド Forgejo である
    • 月額 19 CHF から始まる
  • Red Hat 的なエンタープライズサポートのサブスクリプションはない
  • 24時間365日の電話サポートと責任を負うベンダーが必要なら、自前で構築するか待つしかない

code.jorijn.com の構成

• code.jorijn.com はホームオフィスの単一の Intel NUC 上で動作している
  • RAM は 64GB である
  • Forgejo v15 LTS、Postgres 17、Traefik は Docker 内で動作する
  • Incus 管理の KVM 仮想マシンが横で Forgejo Actions runner を実行する
• Forgejo、Postgres、reverse proxy の配置そのものより重要な判断は、runner の構成である

runner が最も危険な部分

• 自己ホスト型 forge において、forge 自体は簡単な部分であり、難しいのは CI ジョブを実行する環境である
• runner は毎日、Renovate のスケジュールに従って npm install、composer install、pip install を実行しなければならない
  • 対象は自身のリポジトリで生成された lockfile である
  • これは lifecycle script の実行を意味する
  • あらゆるジョブが潜在的に信頼できないコードを実行しうる
• 最近の npm worm や axios サプライチェーン攻撃が、1時間以内に自動マージされる dependency bot を経由して移動したのと同じリスクがある
• runner の役割はコードを実行することではなく、実行中のコードを 隔離 することである
  • 単一の防御層は失敗しうると想定し、次の層がその失敗を吸収するように設計されている

runner 防御レイヤー

• 永続的な KVM 仮想マシン

  • runner はホストのコンテナではなく、別個の KVM VM 内にある
  • ジョブ環境はホストカーネルを共有しない
  • runner 内部の Linux カーネル CVE が NUC に到達するには、まず KVM 境界を破る必要がある

• VM 内部のデフォルト Docker runtime として gVisor を使用

  • ジョブコンテナは runsc 配下で実行される
  • runsc はシステムコールをホストカーネルへ直接渡さず、ユーザー空間で横取りする
  • コンテナ脱出には gVisor とその外側の KVM の両方を破る必要がある

• 週次の破壊的リビルド

  • 毎週月曜日 02:00 UTC に VM 全体を削除し、新しい Ubuntu base image から再作成する
  • Forgejo 向けの新しい persistent runner registration も再発行される
  • base image は日曜日にリビルドされるため、新しい VM にはその週の apt とカーネルパッチが反映される
  • 永続状態が 7 日を超えて残ることはない

• runner bridge の nftables egress filter

  • runner は公開宛先の :443、:80、:22、:53 にアクセスできる
    • npm、pypi、ghcr、そして hairpin NAT 経由で公開ホスト名として到達する自身の Forgejo が対象
  • 192.168.0.0/16、10.0.0.0/8、172.16.0.0/12 にはアクセスできない
  • 侵害されたジョブは LAN をスキャンしたり、ルーターの管理インターフェースやホスト上の他のサービスにアクセスしたりできない

• スコープ制限付き runner token

  • 2 つの persistent runner registration はそれぞれ単一ユーザースコープと単一組織スコープに結び付けられている
  • 管理には write:user,write:organization PAT scope を使う
  • 流出したトークンではスコープ外に runner を登録できず、admin scope の操作もできない
  • レイヤーは意図的に重なるよう構成されている
  • 各レイヤーは柵であり、組み合わせることで多層防御の境界を作る
  • KVM isolation、gVisor、週次リビルド、scope-bound runner registration はいずれも Forgejo と Incus が標準で支援する要素である

諦めたもの

• 発見性とソーシャルグラフ

  • GitHub はコントリビューターがリポジトリを見つける場所である
  • 公開リポジトリに小さな修正を送りたい人は、見知らぬドメインではなく github.com で作業できることを期待する
  • 移行が完了したら、各公開 GitHub リポジトリをアーカイブし、README が code.jorijn.com を指すようにする予定である
  • 発見経路は維持される
    • 人々は引き続き GitHub でリポジトリを見つけ、アーカイブの案内を見た後で canonical home に移動する
  • まだ完了しておらず、一部のリポジトリだけが code.jorijn.com にあり、残りは保留中である

• GitHub Actions エコシステムとの脆い互換性

  • Forgejo Actions は互換性ではなく、なじみやすさを目標にしている
  • 大半は動作するが、一部は動作しない
  • workflow レベルの permissions: ブロックは黙って無視される
  • actions/checkout@v6 は 2026 年初頭に non-GitHub runner で authenticated checkout を壊したため、v5 に固定している
  • actions/upload-artifact@v4 には Forgejo-hosted fork が必要である
  • OIDC は動作するが、GitHub の permissions: id-token: write ではなく、enable-openid-connect: true という別の workflow key を使う
  • workflow が GitHub 固有機能に強く依存しているなら、移行は一晩で終わる作業ではなくプロジェクトになる

• Dependabot の不在

  • Forgejo には Dependabot がない
  • Renovate を同じセルフホスト runner で 3 時間おきに実行している
  • 同じ役割は果たすが、設定項目が多く、構成には 1 日かかった

• 24/7 のベンダーサポート

  • GitHub Enterprise は電話番号と SLA を提供する
  • Forgejo は issue tracker と chat room を提供する
  • 1 人運用には十分だが、200 人規模のエンジニア組織には十分でないかもしれない

移行する価値がない場合

• チームにインフラを運用する意思も能力もまったくないなら、セルフホストの Forgejo へ移行しないほうがよい
  • マネージド Forgejo である Codey や、FOSS 向けの Codeberg はその差を大きく埋めてくれるが、移行コスト自体は依然として残る
• GitHub Apps marketplace、Codespaces、Copilot Workspace、Advanced Security のような GitHub 固有機能 に深く投資しているなら不向きである
  • Forgejo は forge であって developer-platform-as-a-service ではない
• コントリビューターベースが GitHub のソーシャルグラフに依存しているなら、発見性のほうが所有権より重要かもしれない
  • コントリビューターがいる場所にとどまるか、摩擦を受け入れて移行完了後に公開 GitHub リポジトリをアーカイブし、新しい場所を指すようにしてから後で再評価するという選択がある
• runner に対する信頼できる運用上の答えがないなら、移行は難しい
  • ここが最も真剣に扱うべき領域である
  • KVM isolation、gVisor、nftables、週次リビルドを検討する用意がないなら、CI ジョブはマネージド runner host で実行するか、GitHub に残るほうがよい
• オランダ政府でさえ、すべてを一度に移したわけではない
  • code.overheid.nl は各省庁がオープンソースコードを共有するためのソフトローンチ版プラットフォームであり、使っているすべてを全面的に置き換えたわけではない
  • code.jorijn.com の構成も同じ形である
    • Forgejo が canonical host、GitHub が mirror であり、mirror は後で再評価できる