TL;DR: Estamos lançando o Opengrep, um fork do SemgrepCE, em resposta à sua restrição de código aberto.
Somos os iniciadores do Opengrep. Vamos ao que interessa: no mês passado, Semgrep anunciou grandes mudanças no seu projeto OSS — estrategicamente programadas para uma sexta-feira, é claro ;)
Desde 2017, Semgrep sido uma pedra angular da comunidade de segurança de código aberto, oferecendo um mecanismo de análise de código e um repositório de regras juntamente com o seu produto SaaS. Mas as suas recentes ações levantam a questão: o que significa realmente «aberto»?
As principais alterações incluem bloquear regras contribuídas pela comunidade sob uma licença restritiva e migrar funcionalidades críticas, como ignorar rastreamentos, LOC, impressões digitais e metavariáveis essenciais, para fora do projeto aberto.
Isso não é surpreendente —Semgrep abandonando discretamente o mecanismo de código aberto há algum tempo. A mudança de marca deSemgrep paraSemgrep Edition» parece ser o golpe final.
Por quê?
Talvez pressão dos investidores de capital de risco, que veem as contribuições de código aberto como uma forma de «canibalizar» as receitas do SaaS, ou uma forma de proteção contra a concorrência? Semgrep a medida foi tomada para impedir que os fornecedores utilizassem as regras e o motor em ofertas concorrentes de SaaS. No entanto, ainda ontem, com o anúncio da sua «IA», o fundador declarou que «o Semgrep original Semgrep está a tornar-se obsoleto».
Seja como for, embora respeitemos o espírito competitivo, essa repressão ao código aberto pouco contribui para impedir as organizações rivais. Acima de tudo, essa medida prejudica a confiança da comunidade — não apenas no Semgrep, mas em todos os projetos de código aberto.
“Esse tipo de mudança também prejudica todos os projetos de código aberto semelhantes. Toda empresa e todo desenvolvedor agora precisam pensar duas vezes antes de adotar e investir em um projeto de código aberto, caso o criador decida repentinamente mudar a licença”... ou sabotar a funcionalidade (Opentofu).
Esse padrão é familiar: a mudança de licença do Elasticsearch levou a AWS a criar o OpenSearch. O movimento Opentofu surgiu após o rugpull do Terraform da HashiCorp. O código aberto liderado por fornecedores frequentemente prioriza interesses comerciais em detrimento da comunidade para chegar às “grandes ligas”. E isso é péssimo.
Então, estamos agindo.
Unimos forças com 10 concorrentes diretos para lançar o Opengrep – uma posição coordenada e em toda a indústria para manter vivo um grande projeto de código aberto e tornar o desenvolvimento de software seguro um padrão compartilhado e neutro em relação a fornecedores.
Juntam-se a mim Nir Valtman (CEO, Arnica), Ali Mesdaq (CEO, Amplify Security), Varun Badhwar (CEO, Endor Labs), Aviram Shmueli (CIO, Jit), Pavel Furman (CTO, Kodem), Liav Caspi (CTO, Legit), Eitan Worcel (CEO, Mobb) e Yoav Alon (CTO, Orca Security).
O que pode esperar do Opengrep?
Melhorias de desempenho, desbloqueio de funcionalidades exclusivas da versão profissional, suporte a mais idiomas, migração de funcionalidades críticas de volta para o motor e novos avanços: compatibilidade com Windows, análise entre ficheiros, o roteiro é longo.
Juntos, estamos a reunir capital comprometido e recursos de desenvolvimento OCAML para avançar e comoditizar Testes de segurança de aplicações estáticas.
Porque, sejamos francos, há coisas mais interessantes para construir. Encontrar é uma coisa... vamos focar no futuro, em como podemos encontrar e corrigir vulnerabilidades de segurança de forma rápida e automática. Vamos focar em fazer com que os desenvolvedores voltem a construir.
Quer saber mais sobre o Opengrep?
Leia o Manifesto Opengrep. Aproveite e contribua para o Opengrep hoje.
Para contribuir ou se juntar como patrocinador, abra uma issue no GitHub.
Para a comunidade e colaboradores, participe da sessão de roadmap aberta em 20 de fevereiro.
Acompanhe no X. Linkedin.
“Garantir que o futuro do SAST aberto” No Opengrep com Mackenzie Jackson
Proteja seu software agora
.jpg)
.avif)
