Les outils d'API auto-hébergés sont passés d'une case à cocher de conformité de niche à une question au niveau du conseil d'administration la semaine où GitHub a admis que des attaquants avaient volé des données d'environ 3 800 de ses propres dépôts internes. La plateforme cloud qui héberge du code pour des dizaines de millions de développeurs a été compromise par une extension VS Code piégée exécutée sur l'ordinateur portable d'un seul employé. Si l'entreprise qui définit la manière dont l'industrie stocke le code peut être compromise, il est juste de poser une question plus difficile concernant votre propre stack : où résident réellement vos spécifications d'API, vos collections partagées, vos données de test et vos secrets d'environnement ?
Pour beaucoup d'équipes, la réponse honnête est « dans le cloud de quelqu'un d'autre, et je ne sais pas exactement sur quels serveurs ». Ce n'est pas automatiquement faux. Les outils d'API synchronisés dans le cloud sont pratiques, rapides à adopter et vraiment efficaces pour la collaboration. Mais l'incident de GitHub est une invitation utile à examiner la source de vérité de votre API avec lucidité et à décider, délibérément, si elle doit rester à l'intérieur ou à l'extérieur de votre périmètre.
TL;DR
Les outils d'API auto-hébergés, également appelés plateformes d'API sur site, conservent vos spécifications OpenAPI, vos collections de requêtes, vos données de test et vos identifiants au sein d'une infrastructure que vous contrôlez, plutôt que dans le cloud mutualisé d'un fournisseur. Après la violation de GitHub de mai 2026, où des attaquants ont exfiltré des données d'environ 3 800 dépôts internes via une extension VS Code piégée, de plus en plus d'équipes évaluent la résidence des données par rapport à la commodité du cloud. Les outils auto-hébergés ou hors ligne sont pertinents pour les industries réglementées, le stockage d'informations d'identification sensibles et les réseaux isolés ; la synchronisation cloud reste préférable pour les équipes distribuées qui ont besoin d'une collaboration en temps réel avec une faible charge opérationnelle. Apidog vous offre les deux options : un produit cloud et un déploiement auto-hébergé sur site, ainsi qu'un mode hors ligne, pour que le choix vous appartienne.
Ce qui s'est réellement passé chez GitHub, et pourquoi les équipes API devraient s'en soucier
Le 20 mai 2026, GitHub a confirmé que des attaquants avaient volé des données d'environ 3 800 de ses dépôts de code internes. Le point d'entrée n'était pas une faille zero-day dans la plateforme principale de GitHub. Il s'agissait d'une extension VS Code piégée installée sur l'appareil d'un employé de GitHub. Une fois cette extension exécutée avec les permissions de l'employé, les attaquants ont eu un point d'accès au sein du réseau interne de GitHub. Le groupe de menace, identifié comme TeamPCP, est connu pour ses attaques de chaîne d'approvisionnement à travers les écosystèmes de paquets npm, PyPI et PHP, et les rapports de sécurité indiquent que le groupe a mis les données volées en vente sur des forums clandestins pour plus de 50 000 $. GitHub a déclaré n'avoir trouvé aucune preuve que des données clients stockées en dehors de ses dépôts internes aient été affectées, et l'enquête est en cours.
Ce ne fut pas le seul mois difficile pour GitHub. En avril 2026, la firme de sécurité cloud Wiz a divulgué CVE-2026-3854, une faille critique d'exécution de code à distance dans l'infrastructure Git interne de GitHub qui, avant d'être corrigée, a exposé des millions de dépôts. SecurityWeek a documenté la vulnérabilité et sa portée. Deux incidents en deux mois chez le même fournisseur constituent un schéma qui mérite d'être noté.
Voici la partie à laquelle les équipes API devraient prêter attention. GitHub est, pour la plupart des organisations d'ingénierie, bien plus qu'un simple hébergeur de code. C'est le foyer de votre source de vérité API. Vos spécifications OpenAPI et Swagger résident dans des dépôts. Vos collections de requêtes, si vous les commitez, résident dans des dépôts. Vos fichiers .env.example, votre Terraform qui provisionne les passerelles API, vos workflows CI qui contiennent les jetons de déploiement, vos fixtures de tests d'intégration, vos définitions de serveurs mock : tout cela a tendance à s'accumuler au même endroit. Lorsque cet endroit est une plateforme cloud, la violation de la plateforme est, potentiellement, votre violation.
Pour être précis concernant l'incident de GitHub : les données volées étaient le code interne de GitHub, et non des dépôts clients. Cette distinction est importante et nous ne devrions pas la brouiller. Mais la leçon se généralise clairement. Le vecteur de l'extension VS Code malveillante, le modèle d'attaque de la chaîne d'approvisionnement, l'ordinateur portable unique compromis qui se transforme en accès réseau ; rien de tout cela n'est propre à GitHub. La même chaîne d'attaque fonctionne contre tout fournisseur dont le produit est connecté à votre environnement de développement. Nous avons abordé l'angle côté développeur dans notre article sur la sécurité des clés API d'extension VS Code, et les risques côté dépôt dans comment sécuriser la documentation API dans un dépôt Git. Cet article se concentre sur la couche plateforme : non pas « cette extension est-elle sûre », mais « ma conception et mes données API devraient-elles se trouver dans un cloud de fournisseur, tout simplement ».
Ce qu'un client API synchronise réellement avec un cloud de fournisseur
Avant de pouvoir décider où doit résider la source de vérité de votre API, vous devez faire un inventaire honnête de ce que votre client API envoie depuis votre machine. La plupart des développeurs sous-estiment cela. Lorsque vous vous connectez à un outil API synchronisé dans le cloud et rejoignez un espace de travail d'équipe, les catégories de données suivantes quittent généralement votre appareil pour atterrir dans l'infrastructure du fournisseur.
Spécifications d'API. Vos documents OpenAPI définissent chaque endpoint, chaque paramètre, chaque schéma, chaque flux d'authentification que votre service expose. Pour un attaquant, une spécification complète est une carte. Elle leur indique quels endpoints existent, lesquels acceptent des IDs qu'ils peuvent énumérer, lesquels sont non documentés, et où se situent les limites d'authentification. Une spécification n'est pas un secret au sens du mot de passe, mais un plan d'API complet entre de mauvaises mains raccourcit considérablement la phase de reconnaissance d'une attaque.
Collections de requêtes et exemples sauvegardés. Les requêtes sauvegardées contiennent fréquemment des charges utiles réelles. Les charges utiles réelles contiennent des données réelles : adresses e-mail de clients utilisées lors des tests, IDs de compte, noms d'hôtes internes, exemples d'enregistrements copiés depuis l'environnement de staging. Les exemples de réponses sauvegardées sont pires, car une réponse capturée peut inclure un objet utilisateur entier ou une liste d'enregistrements que quelqu'un a collés une fois et oubliés.
Variables d'environnement et secrets. C'est le point sensible. De nombreuses équipes stockent les clés API, les jetons d'authentification (bearer tokens), les secrets client OAuth et les chaînes de connexion à la base de données en tant que variables d'environnement dans leur client API, puis synchronisent ces environnements avec le cloud afin que les coéquipiers puissent exécuter les mêmes requêtes. Désormais, vos identifiants de production résident dans une base de données mutualisée tierce. Si vous avez déjà débogué un problème de synchronisation « ça marche sur ma machine » d'un coéquipier, vous savez à quel point cette couche est opaque ; nous avons rédigé un diagnostic complet sur les problèmes de synchronisation d'environnement Postman précisément parce que cette surface est difficile à comprendre.
Données de test et définitions de mocks. Les serveurs mock sont alimentés avec des données d'exemple. Les scénarios de test encodent la forme de vos données réelles et parfois les données elles-mêmes. Les suites de tests automatisées contiennent des assertions qui révèlent les règles métier.
Métadonnées et activité de l'espace de travail. Les commentaires, les noms de vos services, la liste des membres de votre équipe, votre structure de dossiers et votre historique des modifications. Individuellement mineur. Collectivement, un organigramme détaillé et une feuille de route produit.
Rien de tout cela ne signifie que la synchronisation cloud est imprudente. Cela signifie que les données sont réelles, qu'elles sont sensibles dans leur ensemble, et que vous devriez savoir exactement quelle catégorie d'informations vous avez déléguée à un fournisseur avant qu'un incident ne force la question. Pour une lecture plus approfondie sur cette surface spécifique, notre analyse se demandant si Postman est sécurisé détaille le modèle de données de synchronisation cloud.
La surface d'attaque réelle de la synchronisation cloud et des espaces de travail partagés
Les outils API synchronisés dans le cloud ajoutent une surface d'attaque qui n'existe tout simplement pas lorsque les données restent locales. Il ne s'agit pas d'une critique de l'équipe de sécurité d'un fournisseur spécifique, qui est souvent plus solide que la vôtre. C'est une observation structurelle : plus il y a d'endroits où les données peuvent être atteintes, plus il y a d'endroits d'où elles peuvent être atteintes.
Le fournisseur lui-même est une cible. Un SaaS mutualisé qui détient les spécifications API et les identifiants de milliers d'entreprises est une cible de grande valeur. Une seule violation à cet endroit affecte chaque locataire simultanément. Vous héritez de la posture de sécurité du fournisseur, de sa cadence de correctifs, de la qualité de sa réponse aux incidents et de l'hygiène des ordinateurs portables de ses employés. L'incident de GitHub est le cas d'école : le maillon faible était l'appareil d'un employé, et le rayon d'impact concernait des milliers de dépôts.
La prise de contrôle de compte pose de graves problèmes d'échelle. Les outils cloud s'authentifient avec des identifiants, et ces identifiants sont la cible de phishing, réutilisés et divulgués. Si un coéquipier réutilise un mot de passe et qu'il apparaît dans une fuite de données, un attaquant qui se connecte en tant que ce coéquipier hérite de l'accès à chaque espace de travail partagé, à chaque environnement synchronisé, à chaque secret. L'authentification multifacteur aide beaucoup et vous devriez l'appliquer, mais le détournement de session et le vol de jetons OAuth la contournent.
Partage d'espace de travail trop large. Les espaces de travail partagés sont la fonctionnalité pour laquelle les gens adoptent l'outil, et la fonctionnalité qui fuit. Le contractuel ajouté pour un engagement de deux semaines qui n'a jamais été supprimé. L'espace de travail « Ingénierie » dans lequel chaque nouvelle recrue est ajoutée et qui contient toujours l'environnement de production datant de trois réorganisations. Le partage ouvert par défaut signifie que des environnements sensibles atteignent des personnes qui n'en ont jamais eu besoin.
La couche d'intégration et d'extension. C'est précisément le vecteur qui a frappé GitHub. Les clients API et les IDE prennent en charge les extensions, les plugins et les intégrations. Chacun est un code tiers exécuté avec vos autorisations. Une extension piégée peut lire vos données synchronisées, vos fichiers locaux, vos jetons. Le modèle d'attaque de la chaîne d'approvisionnement, où les attaquants compromettent un paquet ou une extension populaire pour atteindre tous les utilisateurs en aval, est désormais l'un des moyens les plus fiables de pénétrer les environnements de développement. TeamPCP a établi un historique précis sur cela à travers npm et PyPI avant l'incident de GitHub.
Télémétrie, journaux et sous-traitants. Les outils cloud émettent de la télémétrie. Les rapports d'erreur peuvent capturer les corps de requêtes. Les journaux de serveur peuvent capturer les en-têtes, et les en-têtes contiennent des jetons d'autorisation. Vos données circulent également vers les sous-traitants du fournisseur, leur hébergeur cloud, leur fournisseur d'analyse, leurs outils de support, chacun constituant sa propre surface que vous ne contrôlez pas et que vous auditez rarement.
Une comparaison utile est la violation de Vercel et ce qu'elle a appris aux équipes API : lorsqu'une plateforme qui se trouve dans votre chemin de livraison est compromise, la leçon est rarement « ce fournisseur-là était mauvais ». C'est « cartographier les tiers qui peuvent toucher vos données sensibles, et réduire cette cartographie lorsque les données sont suffisamment sensibles pour le justifier ».
Pour maintenir cet équilibre, le contrepoids est réel. Les fournisseurs de cloud réputés chiffrent les données au repos et en transit, exécutent des programmes de sécurité formels, détiennent des certifications SOC 2 et ISO 27001, emploient des équipes de sécurité dédiées et appliquent les correctifs plus rapidement que la plupart des groupes d'opérations internes. Les données d'une petite startup sont souvent plus sûres dans le cloud d'un fournisseur mature que sur un serveur non patché dans un placard. Le point n'est pas que le cloud est dangereux. Le point est que la synchronisation cloud est un compromis délibéré, et vous devriez la faire délibérément plutôt que par défaut.
Conformité et résidence des données : quand l'auto-hébergement n'est plus une option
Pour les industries réglementées, la question cloud versus auto-hébergement n'est souvent pas une préférence. C'est une exigence avec une trace écrite et un auditeur.
Résidence et souveraineté des données. Des réglementations telles que le RGPD de l'UE, et une liste croissante de lois nationales sur la localisation des données, limitent l'endroit où les données concernant les personnes peuvent physiquement résider. Si vos données de test API ou les charges utiles de requêtes sauvegardées contiennent des données personnelles de résidents de l'UE, ces données résidant dans une base de données mutualisée en région américaine peuvent poser un problème de conformité. Une plateforme API auto-hébergée fonctionnant dans votre propre centre de données, ou dans une région cloud que vous épinglez explicitement, vous redonne le contrôle sur la résidence des données. Les orientations du Comité européen de la protection des données sont le point de référence pour les règles de transfert transfrontalier.
Cadres spécifiques à l'industrie. Les équipes de santé traitant des informations de santé protégées (PHI) selon la HIPAA, les équipes de paiement selon le PCI DSS, les fournisseurs fédéraux américains selon le FedRAMP, et les contractants de la défense selon le CMMC sont tous soumis à des contrôles explicites sur l'endroit où résident les données réglementées et qui peut y accéder. Certains de ces cadres exigent effectivement un environnement isolé (air-gapped) ou sur site pour les charges de travail les plus sensibles. Nous approfondissons ce scénario dans notre guide sur les outils de test API isolés pour les environnements sécurisés. Un outil qui ne fonctionne qu'en se synchronisant avec un cloud de fournisseur est un non-départ dans ces contextes, aussi bon soit-il.
Obligations contractuelles de traitement des données. Même en dehors des réglementations formelles, les clients d'entreprise intègrent de plus en plus des clauses de traitement des données dans les contrats avec les fournisseurs. Si le contrat de votre client stipule que ses données ne peuvent pas être traitées par des sous-traitants non approuvés, et que votre client API envoie discrètement des charges utiles de test contenant ces données à son propre cloud, vous pourriez être en violation d'un engagement que vous n'aviez pas réalisé avoir pris.
Audit et chaîne de traçabilité. Les auditeurs posent une question directe : qui peut accéder à ces données, et comment le savez-vous ? Avec un déploiement auto-hébergé, la réponse est concrète. Les données sont sur des serveurs que vous possédez, derrière vos contrôles réseau, dans vos journaux, sous vos politiques d'accès. Avec un cloud mutualisé, une partie de la réponse est toujours « et nous faisons confiance au fournisseur », ce qui est plus difficile à prouver et à défendre lors d'un audit.
Une règle simple : plus vos données API recoupent des informations réglementées, contractuelles ou véritablement sensibles, plus le coût opérationnel de l'auto-hébergement est simplement le coût de faire des affaires correctement. Pour un projet personnel ou un outil interne sans données sensibles, ce même coût est difficile à justifier.
Quand l'auto-hébergement l'emporte, et quand la commodité du cloud l'emporte légitimement
L'auto-hébergement n'est pas une position morale supérieure. C'est un compromis d'ingénierie avec des coûts réels, et prétendre le contraire conduit les équipes au mauvais choix. Voici une répartition honnête.
| Facteur | Outil API synchronisé dans le cloud | Auto-hébergé / sur site / hors ligne |
|---|---|---|
| Installation et maintenance | Quelques minutes ; le fournisseur gère tout | Vous provisionnez, corrigez, sauvegardez, surveillez |
| Collaboration en temps réel | Forte ; conçu pour les équipes distribuées | Fonctionne, mais au sein de votre réseau ou VPN |
| Contrôle de la résidence des données | Limité aux régions et politiques du fournisseur | Complet ; vous choisissez l'emplacement exact |
| Surface d'attaque | Cloud du fournisseur, authentification de compte, sous-traitants | Votre périmètre uniquement |
| Conformité (HIPAA, PCI, FedRAMP) | Dépend des certifications du fournisseur | Forte ; les données ne quittent jamais votre contrôle |
| Modèle de coûts | Abonnement par siège | Licence plus votre infrastructure et temps d'opérations |
| Fonctionne isolé ou hors ligne | Non | Oui |
| Reprise après sinistre | Responsabilité du fournisseur | À concevoir et tester par vous-même |
L'auto-hébergement ou le mode hors ligne vaut le coût opérationnel lorsque : vous êtes dans une industrie réglementée ; vous stockez des identifiants de production ou des données clients au sein de vos outils API ; vous opérez dans des réseaux isolés (air-gapped) ou restreints ; votre équipe de sécurité ou juridique a besoin d'une chaîne de traçabilité défendable ; ou qu'un seul fournisseur concentre déjà trop de vos données critiques et que vous souhaitez réduire cette concentration. Dans ces cas, la charge opérationnelle n'est pas un gaspillage. C'est le prix du contrôle dont vous avez réellement besoin.
La commodité du cloud l'emporte légitimement lorsque : votre équipe est distribuée sur plusieurs fuseaux horaires et que la collaboration en temps réel est le flux de travail principal ; vous êtes une petite équipe sans la capacité opérationnelle de bien gérer et sécuriser l'infrastructure, car un serveur auto-hébergé à moitié maintenu est pire qu'un cloud bien géré ; vos données API ne contiennent aucune information réglementée ou sensible ; ou vous avancez rapidement dans un travail de produit en phase initiale où la vitesse d'adoption l'emporte sur le contrôle de la résidence des données. Choisir le cloud ici n'est pas de la paresse. C'est une juste interprétation du compromis.
L'erreur est de considérer cela comme une décision unique, tout ou rien. De nombreuses équipes matures adoptent une approche hybride : une configuration auto-hébergée ou hors ligne pour tout ce qui touche aux secrets de production et aux données clients, et un espace de travail cloud pour la collaboration à faible sensibilité et la documentation API publique. La décision est par classe de données, non par entreprise. Et elle mérite une réévaluation périodique, car la sensibilité de vos données, la taille de votre équipe et votre exposition réglementaire évoluent toutes avec le temps.
Garder la source de vérité de votre API à l'intérieur de votre périmètre avec Apidog
Si la violation de GitHub vous incite à revoir l'endroit où résident vos données API, la démarche pratique consiste à utiliser des outils qui vous permettent de décider, plutôt que des outils qui décident pour vous. Apidog est une plateforme API tout-en-un couvrant la conception, le débogage, les tests, le mocking et la documentation, et elle est conçue pour que les équipes puissent conserver l'intégralité de ce workflow à l'intérieur de leur propre périmètre si nécessaire.
Pour être clair : Apidog propose également un produit cloud, et pour de nombreuses équipes, c'est le bon choix. Ce n'est pas un argumentaire anti-cloud. L'important est que vous avez la possibilité de conserver votre conception API, vos spécifications, vos données de test et vos identifiants au sein d'une infrastructure que vous contrôlez. Voici comment cela fonctionne.
Déploiement sur site et auto-hébergé. Apidog propose un déploiement entièrement auto-hébergé sur site pour les entreprises. Vous exécutez la plateforme complète au sein de votre propre infrastructure : un centre de données privé, votre propre VPC cloud, ou une configuration hybride. Selon la documentation d'auto-hébergement d'Apidog, les options de déploiement incluent une configuration Docker autonome où l'application, la base de données MySQL et le cache Redis fonctionnent tous sur des hôtes que vous possédez, un modèle hybride où l'application s'exécute dans votre environnement tandis que la base de données et le cache utilisent des services cloud gérés que vous contrôlez, et Kubernetes pour les déploiements à l'échelle de l'entreprise. Vos spécifications OpenAPI, collections, données de test et variables d'environnement résident sur vos serveurs, derrière vos contrôles réseau, dans vos journaux, sous vos politiques d'accès. Pour la question d'un auditeur « qui peut accéder à ces données », la réponse devient concrète.
L'édition auto-hébergée prend également en charge les exécuteurs de tests auto-hébergés, de sorte que les tests API automatisés s'exécutent au sein de votre réseau au lieu de passer par un tiers. Cela maintient à la fois vos spécifications et votre trafic de test dans vos limites, ce qui est important lorsque les requêtes transportent de vrais jetons ou touchent des services internes uniquement. Apidog auto-hébergé inclut également une gestion des utilisateurs et des accès d'entreprise, afin que vous puissiez définir qui accède à quels projets plutôt que de vous fier au partage ouvert par défaut.
Mode hors ligne avec stockage local prioritaire. Vous n'avez pas besoin d'un déploiement complet sur site pour conserver le travail sensible localement. L'Espace Hors Ligne d'Apidog permet à un développeur unique ou à une petite équipe de travailler entièrement sur l'appareil. Selon la documentation de l'Espace Hors Ligne d'Apidog, toutes les données restent sur votre machine locale et ne sont jamais téléchargées sur le cloud. Il n'y a pas de synchronisations en arrière-plan. Contrairement à un mode hors ligne temporaire « cache jusqu'à la reconnexion », l'Espace Hors Ligne d'Apidog est permanent et autonome : vous concevez, déboguez et testez des endpoints entièrement hors ligne, et les données résident uniquement là où vous les placez.
L'Espace Hors Ligne est particulièrement pertinent pour le problème des secrets. Les variables d'environnement et globales dans l'Espace Hors Ligne sont stockées localement, ne sont pas synchronisées avec le cloud et ne sont pas partagées avec les membres de l'équipe. Cela signifie que vous pouvez conserver les jetons d'authentification (bearer tokens), les identifiants de compte et les chaînes de connexion dans votre client API sans que ces valeurs ne quittent jamais votre ordinateur portable. Pour les réseaux isolés (air-gapped) ou restreints, c'est la différence entre un outil que vous pouvez utiliser et un outil que vous ne pouvez pas.
Stockage local des données comme posture par défaut. Le fil conducteur reliant les deux options est le contrôle local-first. Avec un déploiement sur site, la source de vérité API partagée de votre équipe réside sur votre infrastructure. Avec l'Espace Hors Ligne, le travail sensible d'un individu réside sur son appareil. Dans les deux cas, vos spécifications API, données de test et identifiants ne sont pas délégués à un cloud mutualisé par défaut. Ils se trouvent quelque part que vous pouvez désigner, auditer et défendre.
Pour suivre, Téléchargez Apidog et activez l'Espace Hors Ligne depuis l'application de bureau, ou consultez la documentation d'auto-hébergement si vous évaluez un déploiement sur site pour entreprise. Le résumé honnête : Apidog n'aurait pas arrêté la violation de GitHub, et aucun outil API ne l'aurait fait. Ce qu'il fait, c'est vous permettre de prendre une décision délibérée sur l'endroit où résident vos données API, au lieu de découvrir la réponse lors de l'incident de quelqu'un d'autre.
Conclusion
La violation de GitHub n'est pas une raison de paniquer, et ce n'est pas la preuve que le cloud est défaillant. C'est un déclencheur. Voici ce qu'il faut retenir.
- GitHub, une plateforme cloud à laquelle des millions d'utilisateurs font confiance, a été victime d'une violation via une extension VS Code piégée sur l'appareil d'un employé ; environ 3 800 dépôts internes ont vu leurs données volées.
- Pour la plupart des équipes, la plateforme qui héberge le code détient également la source de vérité de l'API : spécifications OpenAPI, collections, données de test et secrets d'environnement.
- Les outils API synchronisés dans le cloud ajoutent une réelle surface d'attaque : le fournisseur comme cible, la prise de contrôle de compte, le partage d'espace de travail trop large, la couche d'extension et d'intégration, et les sous-traitants.
- La synchronisation cloud présente également de réels avantages, et les fournisseurs matures dépassent souvent en sécurité les équipes d'opérations internes ; l'objectif est un compromis délibéré, non une méfiance aveugle.
- Les industries réglementées, le stockage d'identifiants sensibles et les réseaux isolés sont les domaines où les outils auto-hébergés ou hors ligne cessent d'être facultatifs.
- La commodité du cloud l'emporte légitimement pour les équipes distribuées, les petites équipes sans capacité opérationnelle et le travail à faible sensibilité.
- Le modèle intelligent est par classe de données : auto-hébergé ou hors ligne pour les secrets et les données clients, cloud pour la collaboration à faible risque, réévalué à mesure que vous grandissez.
La prochaine étape est simple et mérite d'être effectuée cette semaine : inventoriez ce que votre client API synchronise, classez chaque type de données par sensibilité, et décidez délibérément où chaque classe doit résider. Si une partie de la réponse est « à l'intérieur de notre périmètre », Apidog vous offre un déploiement auto-hébergé sur site et un mode hors ligne pour concrétiser cela. Téléchargez Apidog pour commencer, et lisez la documentation d'auto-hébergement si un déploiement d'entreprise est envisagé.