Klar kann man jedes Horrorszenario herbeidiskutieren. Ich bleibe aber dabei: ich halte ein Git-Hosting bei darauf spezialisierten (und vor allem davon lebenden) Anbietern nicht per se für unsicherer als auf einem virtuellen Server eines Massenhosters.
Wenn man einen Anbieter zum hosten nimmt, dann ist immer besser, einen darauf spezialisierten Anbieter zu nehmen. Aus den von dir genannten Gründen. Aber: sobald du etwas bei einem Anbieter hostest, hast du im Bezug zu geschütztem Zugriff lediglich die Sicherheit, dass min. eine staatliche Institution Zugriff darauf hat. Woauchimmer der Server steht, das Land hat mit höchster Wahrscheinlichkeit die Möglichkeit, an die Daten dort zu kommen. Das beschränkt sich nicht nur auf die USA. Ich würde
sensible Daten weder dort, noch in Russland, China, Korea oder Deutschland horten.
Ob sich der Aufwand für einen privaten Server bei Quellcode lohnt, hängt davon ab, was die Anwendung machen soll, bzw. wie hoch das Risiko für Angriffe ist. Kurz gesagt muss der Aufwand für einen erfolgreichen Angriff größer sein als der Nutzen davon.
Edit:
* Es ist bekannt, daß die NSA regelmäßig amerikanische Firmen dazu zwingt, Daten oder Keys an die NSA herauszugeben, und im Prinzp keine amerikanische Firma davor geschützt ist. Es wird auch vermutet, daß zahlreiche amerikanische Softwareprodukte über "Hintertüren" verfügen, um amerikanische Industriespionage zu ermöglichen.
Es wird auch gemunkelt, dass im Bezug auf Zugriff von Daten bei Hostern die Deutschen nicht besser sind... Wenn du auf dem Level von Vorsicht bist, ist ein Online-Hoster raus aus der Diskussion.