TL;DR: Wir starten Opengrep, eine Abspaltung von SemgrepCE, als Antwort auf dessen Open-Source-Einstellung.
Wir sind die Initiatoren von Opengrep. Legen wir los: Letzten Monat kündigte Semgrep größere Änderungen an seinem OSS-Projekt an - natürlich strategisch auf einen Freitag abgestimmt ;)
Seit 2017 ist Semgrep ein Eckpfeiler der Open-Source-Sicherheits-Community und bietet neben seinem SaaS-Produkt eine Code-Analyse-Engine und ein Regel-Repository an. Doch die jüngsten Schritte werfen die Frage auf: Was bedeutet "offen" wirklich?
Zu den wichtigsten Änderungen gehören die Sperrung von Regeln, die von der Gemeinschaft beigesteuert wurden, unter einer restriktiven Lizenz und die Migration kritischer Funktionen wie Tracking Ignores, LOC, Fingerprints und essentielle Metavariablen weg vom offenen Projekt.
Dies ist nicht überraschend - Semgrep hat sich schon seit einiger Zeit still und heimlich von der Open-Source-Engine verabschiedet. Die Umbenennung von "Semgrep OSS" in "Semgrep Community Edition" fühlt sich an wie der letzte Nagel im Sarg.
Warum?
Vielleicht auf Druck von VCs, die Open-Source-Beiträge als "Kannibalisierung" der SaaS-Einnahmen ansehen, oder zum Schutz vor Konkurrenz? Semgrep behauptet, der Schritt sei erfolgt, um Anbieter davon abzuhalten, die Regeln und die Engine in konkurrierenden SaaS-Angeboten zu verwenden. Doch erst gestern erklärte der Gründer bei der Ankündigung von "AI", dass "die ursprüngliche Semgrep-Engine veraltet ist".
Wie dem auch sei, wir respektieren zwar den Wettbewerbsgeist, aber diese Open-Source-Maßnahme trägt wenig dazu bei, rivalisierende Organisationen aufzuhalten. Mehr als alles andere untergräbt dieser Schritt das Vertrauen der Gemeinschaft - nicht nur in Semgrep, sondern in alle Open-Source-Projekte.
"Diese Art von Änderung schadet auch allen ähnlichen Open-Source-Projekten. Jedes Unternehmen und jeder Entwickler muss nun zweimal nachdenken, bevor er ein Open-Source-Projekt übernimmt und in es investiert, falls der Urheber plötzlich beschließt, die Lizenz zu ändern"... oder die Funktionalität in die Knie zu zwingen (Opentofu).
Dieses Muster ist bekannt: Die Lizenzänderung von Elasticsearch veranlasste AWS zur Gründung von OpenSearch. Die Opentofu-Bewegung entstand nach dem Terraform-Rugpull von HashiCorp. Anbietergeführte Open-Source-Projekte stellen oft kommerzielle Interessen über die Gemeinschaft, um in die "große Liga" aufzusteigen. Und das ist scheiße.
Wir werden also aktiv werden.
Wir haben uns mit 10 direkten Konkurrenten zusammengeschlossen, um Opengrep ins Leben zu rufen - eine koordinierte, branchenweite Aktion, um ein großartiges Open-Source-Projekt am Leben zu erhalten und sichere Softwareentwicklung zu einem herstellerunabhängigen, gemeinsamen Standard zu machen.
Bei mir sind Nir Valtman (CEO, Arnica), Ali Mesdaq (CEO, Amplify Security), Varun Badhwar (CEO, Endor Labs), Aviram Shmueli (CIO, Jit), Pavel Furman (CTO, Kodem), Liav Caspi (CTO, Legit), Eitan Worcel (CEO, Mobb), und Yoav Alon (CTO, Orca Security).
Was können Sie von Opengrep erwarten?
Leistungsverbesserungen, Freischaltung von Pro-Only-Funktionen, erweiterte Sprachunterstützung, Migration kritischer Funktionen zurück in die Engine und neue Fortschritte: Windows-Kompatibilität, dateiübergreifende Analyse - die Roadmap ist lang.
Gemeinsam bündeln wir engagiertes Kapital und OCAML-Entwicklungsressourcen, um statische Anwendungstests voranzutreiben und zu standardisieren.
Denn seien wir ehrlich - es gibt interessantere Dinge zu bauen. Finden ist eine Sache... Konzentrieren wir uns auf die Zukunft, darauf, wie wir Sicherheitslücken schnell und automatisch finden und beheben können. Konzentrieren wir uns darauf, die Entwickler wieder zum Bauen zu bringen.
Möchten Sie mehr über Opengrep erfahren?
Lesen Sie das Opengrep Manifest. Nutzen Sie Opengrep und tragen Sie noch heute dazu bei.
Um einen Beitrag zu leisten oder als Sponsor beizutreten, öffnen Sie ein Issue auf GitHub.
Für die Gemeinschaft und die Mitwirkenden: Nehmen Sie an der offenen Roadmap-Sitzung am 20. Februar teil.
Folgen Sie uns auf X. Linkedin.
"Die Zukunft von SAST ist offen" Auf Opengrep mit Mackenzie Jackson
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)