TL;DR: Wir starten Opengrep, einen Fork von SemgrepCE, als Reaktion auf dessen Open-Source-Einschränkungen.
Wir sind die Initiatoren von Opengrep. Kommen wir zur Sache: Letzten Monat hat Semgrep große Änderungen an seinem OSS-Projekt angekündigt – strategisch natürlich auf einen Freitag gelegt ;)
Seit 2017 ist Semgrep ein Eckpfeiler der Open-Source-Sicherheits-Community und bietet neben seinem SaaS-Produkt eine Code-Analyse-Engine und ein Regel-Repository. Doch ihre jüngsten Schritte werfen die Frage auf: Was bedeutet „offen“ wirklich?
Wesentliche Änderungen umfassen die Sperrung von Community-beigesteuerten Regeln unter einer restriktiven Lizenz und die Migration kritischer Funktionen wie das Verfolgen von Ignorierungen, LOC, Fingerabdrücken und wesentlichen Metavariablen weg vom Open-Source-Projekt.
Das ist nicht überraschend – Semgrep verabschiedet sich schon seit einiger Zeit still und leise von der Open-Source-Engine. Das Rebranding von „Semgrep OSS“ zu „Semgrep Community Edition“ fühlt sich wie der letzte Nagel im Sarg an.
Warum?
Vielleicht Druck von VCs, die Open-Source-Beiträge als „Kannibalisierung“ von SaaS-Einnahmen betrachten, oder Schutz vor Konkurrenz? Semgrep behauptet, der Schritt sei erfolgt, um Anbieter daran zu hindern, die Regeln und die Engine in konkurrierenden SaaS-Angeboten zu verwenden. Doch erst gestern, mit ihrer „AI“-Ankündigung, erklärte der Gründer: „Die ursprüngliche Semgrep-Engine wird obsolet.“
Wie dem auch sei, während wir einen Wettbewerbsgeist respektieren, bewirkt diese Open-Source-Einschränkung wenig, um rivalisierende Organisationen aufzuhalten. Mehr als alles andere untergräbt dieser Schritt das Vertrauen der Community – nicht nur in Semgrep, sondern in alle Open-Source-Projekte.
„Diese Art von Änderung schadet auch allen ähnlichen Open-Source-Projekten. Jedes Unternehmen und jede Entwickelnde muss jetzt zweimal überlegen, bevor es ein Open-Source-Projekt übernimmt und darin investiert, falls der Ersteller plötzlich beschließt, die Lizenz zu ändern“... oder die Funktionalität einschränkt (Opentofu).
Dieses Muster ist bekannt: Die Lizenzänderung von Elasticsearch führte dazu, dass AWS OpenSearch entwickelte. Die Opentofu-Bewegung entstand nach HashiCorps Terraform-Rugpull. Anbietergeführte Open-Source-Projekte priorisieren oft kommerzielle Interessen über die Community, um es in die „erste Liga“ zu schaffen. Und das ist Mist.
Wir ergreifen also Maßnahmen.
Wir haben uns mit 10 direkten Wettbewerbern zusammengeschlossen, um Opengrep zu starten – eine koordinierte, branchenweite Initiative, um ein großartiges Open-Source-Projekt am Leben zu erhalten und die sichere Softwareentwicklung zu einem herstellerneutralen, gemeinsamen Standard zu machen.
Ich werde begleitet von Nir Valtman (CEO, Arnica), Ali Mesdaq (CEO, Amplify Security), Varun Badhwar (CEO, Endor Labs), Aviram Shmueli (CIO, Jit), Pavel Furman (CTO, Kodem), Liav Caspi (CTO, Legit), Eitan Worcel (CEO, Mobb) und Yoav Alon (CTO, Orca Security).
Was können Sie von Opengrep erwarten?
Performance-Verbesserungen, Freischaltung von Pro-only-Funktionen, erweiterte Sprachunterstützung, Migration kritischer Funktionen zurück zur Engine und neue Fortschritte: Windows-Kompatibilität, Cross-File-Analyse, die Roadmap ist lang.
Gemeinsam bündeln wir engagiertes Kapital und OCAML-Entwicklungsressourcen, um Statische Anwendungssicherheitstests voranzutreiben und zu standardisieren.
Denn seien wir ehrlich – es gibt interessantere Dinge zu entwickeln. Das Finden ist eine Sache... konzentrieren wir uns auf die Zukunft, darauf, wie wir Sicherheitslücken schnell und automatisch finden und beheben können. Konzentrieren wir uns darauf, die Entwickler wieder zum Bauen zu bringen.
Möchten Sie mehr über Opengrep erfahren?
Lesen Sie das Opengrep Manifesto. Nutzen und tragen Sie noch heute zu Opengrep bei.
Um beizutragen oder als Sponsor beizutreten, öffnen Sie ein Issue auf GitHub.
Für Community und Mitwirkende: Nehmen Sie an der Open Roadmap Session am 20. Februar teil.
Folgen Sie uns auf X. Linkedin.
„Sicherstellen, dass die Zukunft von SAST offen ist“ Auf Opengrep mit Mackenzie Jackson
Sichern Sie Ihre Software jetzt.
.jpg)
.avif)
