Déclaratif, signé, souverain. Conçu pour les opérateurs européens sous NIS2, DORA, ISO 27001 et ANSSI BP-028.
nix run github:arcanesys/nixfleet-demoDémo monohôte avec preuves signées. Nécessite Nix avec les flakes activés et /dev/kvm. macOS : voir la doc.
Les outils impératifs gèrent l'état souhaité. Ils ne peuvent pas prouver l'état réel. La dérive est mathématiquement inévitable.
NixFleet : Reproductible par construction. Chaque commit produit une closure adressée par hash, identique sur chaque hôte.
Les control planes cloud américains (Jamf, Intune, AWS SSM) placent votre capacité de déploiement sous Cloud Act, conditions tarifaires tierces, et disponibilité externe.
NixFleet : 100% auto-hébergé. Forge Git, cache binaire, control plane - tout sur votre infrastructure. Si nous disparaissons, votre flotte continue.
EDR, SIEM, scanners SBOM sont des couches de détection empilées sur des systèmes mutables. Ils surveillent, ils ne changent pas ce qui s'exécute.
NixFleet : La sécurité émerge du modèle système : Nix store adressé par hash, chaîne d'artefacts signés de bout en bout, quarantaine de closure, impermanence.
NIS2, DORA, ISO 27001, ANSSI BP-028 exigent des preuves auditables. Les piles traditionnelles produisent des assertions, pas des preuves.
NixFleet : Conformité comme porte de release, pas comme scanner. Le build refuse les closures non conformes ; l'auditeur vérifie la chaîne hors ligne, sans devoir nous faire confiance.
Laissez le reste là où il est. NixFleet place votre zone réglementée - 5 à 15 hôtes qui portent votre exposition NIS2 / DORA / ANSSI - sur une boucle GitOps à artefacts signés. Commit → CI signe → control plane vérifie → agent vérifie indépendamment → activation avec rollback magique à deadline. Aucune clé de signature dans le control plane. Une compromission du CP est une panne, pas une fuite.
Cartographie NIS2 Article 21, preuves signées par hôte, moteur de gouvernance avec exceptions par règle.
Votre zone réglementée sur un substrat déclaratif. Paquet de preuves NIS2 signé à 3 mois. Migration depuis Ansible / Puppet / Chef incluse.
Identité ancrée TPM, secrets scellés PCR, canaux signés à seuil. Spécifié en 4 RFCs.
Migrez vos charges réglementées sur un substrat déclaratif. Laissez le reste là où il est. Nous montons votre zone réglementée avec des preuves signées prêtes pour votre auditeur, que vous soyez déjà sous NixOS ou que vous migriez depuis Ansible / Puppet / Chef pendant les 12 semaines.
Réserver un appel de 15 min