TL;DR: Estamos lançando o Opengrep, um fork do SemgrepCE, em resposta à sua restrição de código aberto.
Somos os iniciadores do Opengrep. Vamos ao que interessa: No mês passado, a Semgrep anunciou grandes mudanças em seu projeto OSS — estrategicamente programadas para uma sexta-feira, é claro ;)
Desde 2017, a Semgrep tem sido um pilar da comunidade de segurança de código aberto, oferecendo um motor de análise de código e um repositório de regras juntamente com seu produto SaaS. Mas suas recentes ações levantam a questão: o que realmente significa “aberto”?
As principais mudanças incluem o bloqueio de regras contribuídas pela comunidade sob uma licença restritiva e a migração de recursos críticos como rastreamento de ignorados, LOC, fingerprints e metavariáveis essenciais para fora do projeto aberto.
Isso não é surpreendente — a Semgrep tem abandonado silenciosamente o motor de código aberto há algum tempo. A mudança de marca de “Semgrep OSS” para “Semgrep Community Edition” parece o prego final no caixão.
Por quê?
Talvez pressão de VCs, vendo as contribuições de código aberto como “canibalizando” a receita de SaaS, ou protegendo-se contra a concorrência? A Semgrep afirma que a mudança foi para impedir que fornecedores usassem as regras e o motor em ofertas SaaS concorrentes. No entanto, ainda ontem, com seu anúncio de “IA”, o fundador declarou: “o motor original da Semgrep está se tornando obsoleto.”
Seja qual for o caso, embora respeitemos o espírito competitivo, essa repressão ao código aberto pouco faz para deter organizações rivais. Mais do que tudo, essa medida mina a confiança da comunidade — não apenas na Semgrep, mas em todos os projetos de código aberto.
“Esse tipo de mudança também prejudica todos os projetos de código aberto semelhantes. Toda empresa e todo desenvolvedor agora precisam pensar duas vezes antes de adotar e investir em um projeto de código aberto, caso o criador decida repentinamente mudar a licença”... ou sabotar a funcionalidade (Opentofu).
Esse padrão é familiar: a mudança de licença do Elasticsearch levou a AWS a criar o OpenSearch. O movimento Opentofu surgiu após o rugpull do Terraform da HashiCorp. O código aberto liderado por fornecedores frequentemente prioriza interesses comerciais em detrimento da comunidade para chegar às “grandes ligas”. E isso é péssimo.
Então, estamos agindo.
Unimos forças com 10 concorrentes diretos para lançar o Opengrep – uma posição coordenada e em toda a indústria para manter vivo um grande projeto de código aberto e tornar o desenvolvimento de software seguro um padrão compartilhado e neutro em relação a fornecedores.
Juntam-se a mim Nir Valtman (CEO, Arnica), Ali Mesdaq (CEO, Amplify Security), Varun Badhwar (CEO, Endor Labs), Aviram Shmueli (CIO, Jit), Pavel Furman (CTO, Kodem), Liav Caspi (CTO, Legit), Eitan Worcel (CEO, Mobb), e Yoav Alon (CTO, Orca Security).
O que você pode esperar do Opengrep?
Melhorias de desempenho, desbloqueio de recursos exclusivos para profissionais, suporte estendido a linguagens, migração de recursos críticos de volta ao motor e novos avanços: compatibilidade com Windows, análise cross-file, o roadmap é longo.
Juntos, estamos unindo capital comprometido e recursos de desenvolvimento OCAML para avançar e comoditizar os testes de segurança de aplicações estáticas.
Porque, sejamos francos, há coisas mais interessantes para construir. Encontrar é uma coisa... vamos focar no futuro, em como podemos encontrar e corrigir vulnerabilidades de segurança de forma rápida e automática. Vamos focar em fazer com que os desenvolvedores voltem a construir.
Quer saber mais sobre o Opengrep?
Leia o Manifesto Opengrep. Aproveite e contribua para o Opengrep hoje.
Para contribuir ou se juntar como patrocinador, abra uma issue no GitHub.
Para a comunidade e colaboradores, participe da sessão de roadmap aberta em 20 de fevereiro.
Acompanhe no X. Linkedin.
“Garanta que o futuro do SAST seja Aberto” No Opengrep com Mackenzie Jackson
