TL;DR: Nós estamos lançando o Opengrep, um fork do SemgrepCE, em resposta ao seu fechamento de código aberto.
Nós somos os iniciadores do Opengrep. Vamos a isso: No mês passado, a Semgrep anunciou grandes mudanças no seu projeto OSS - estrategicamente programado para uma sexta-feira, claro ;)
Desde 2017, a Semgrep tem sido uma pedra angular da comunidade de segurança de código aberto, oferecendo um mecanismo de análise de código e um repositório de regras juntamente com seu produto SaaS. Mas seus movimentos recentes levantam a questão: o que "aberto" realmente significa?
As principais mudanças incluem o bloqueio de regras contribuídas pela comunidade sob uma licença restritiva e a migração de recursos críticos como rastreamento de ignorados, LOC, fingerprints e metavariáveis essenciais para longe do projeto aberto.
Isso não é surpreendente - o Semgrep tem abandonado silenciosamente o mecanismo de código aberto há algum tempo. O rebranding de "Semgrep OSS" para "Semgrep Community Edition" parece ser o prego final no caixão.
Porquê?
Talvez pressão dos VCs, que consideram que as contribuições de código aberto "canibalizam" as receitas do SaaS, ou proteção contra a concorrência? A Semgrep afirma que a mudança foi para impedir que os fornecedores usassem as regras e o mecanismo em ofertas SaaS concorrentes. No entanto, ainda ontem, com o anúncio da "IA", o fundador declarou que "o motor Semgrep original está a tornar-se obsoleto".
Seja qual for o caso, enquanto nós respeitamos um espírito competitivo, esta repressão ao código aberto faz pouco para parar organizações rivais. Mais do que tudo, este movimento mina a confiança da comunidade - não apenas no Semgrep, mas em todos os projectos de código aberto.
"Este tipo de mudança também prejudica todos os projectos de código aberto semelhantes. Todas as empresas e todos os programadores têm agora de pensar duas vezes antes de adotar e investir num projeto de código aberto, no caso de o criador decidir subitamente alterar a licença"... ou anular a funcionalidade (Opentofu).
Este padrão é familiar: A mudança de licença do Elasticsearch levou a AWS a criar o OpenSearch. O movimento Opentofu surgiu após o rugpull do Terraform da HashiCorp. O código aberto liderado por fornecedores geralmente prioriza os interesses comerciais sobre a comunidade para chegar às "grandes ligas". E isso é péssimo.
Por isso, estamos a agir.
Unimo-nos a 10 concorrentes diretos para lançar o Opengrep - uma posição coordenada de toda a indústria para manter vivo um grande projeto de código aberto e tornar o desenvolvimento seguro de software um padrão partilhado e neutro em relação aos fornecedores.
Nir Valtman (CEO, Arnica), Ali Mesdaq (CEO, Amplify Security), Varun Badhwar (CEO, Endor Labs), Aviram Shmueli (CIO, Jit), Pavel Furman (CTO, Kodem), Liav Caspi (CTO, Legit), Eitan Worcel (CEO, Mobb) e Yoav Alon (CTO, Orca Security).
O que pode esperar com o Opengrep?
Melhorias de desempenho, desbloqueio de funcionalidades exclusivas para profissionais, suporte alargado de idiomas, migração de funcionalidades críticas de volta para o motor e novos avanços: compatibilidade com o Windows, análise de ficheiros cruzados, o roteiro é longo.
Juntos, estamos a reunir capital comprometido e recursos de desenvolvimento OCAML para avançar e tornar os testes de segurança de aplicações estáticas mais acessíveis.
Porque, sejamos realistas, há coisas mais interessantes para construir. Encontrar é uma coisa... vamos concentrar-nos no futuro, em como podemos encontrar e corrigir vulnerabilidades de segurança de forma rápida e automática. Vamos concentrar-nos em fazer com que os programadores voltem a construir.
Quer saber mais sobre o Opengrep?
Leia o Manifesto do Opengrep. Aproveite e contribua para o Opengrep hoje mesmo.
Para contribuir ou participar como patrocinador, abra um problema no GitHub.
Para a comunidade e contribuidores, junte-se à sessão de roteiro aberto no dia 20 de fevereiro.
Siga-nos no X. Linkedin.
"Assegurar que o futuro do SAST está aberto" No Opengrep com Mackenzie Jackson
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)