TL;DR: Lanzamos Opengrep, un fork de SemgrepCE, en respuesta a su restricción del código abierto.
Somos los iniciadores de Opengrep. Entremos en materia: El mes pasado, Semgrep anunció cambios importantes en su proyecto OSS, programados estratégicamente para un viernes, por supuesto ;)
Desde 2017, Semgrep ha sido una piedra angular de la comunidad de seguridad de código abierto, ofreciendo un motor de análisis de código y un repositorio de reglas junto con su producto SaaS. Pero sus movimientos recientes plantean la pregunta: ¿qué significa realmente “abierto”?
Los cambios clave incluyen el bloqueo de reglas aportadas por la comunidad bajo una licencia restrictiva y la migración de características críticas como el seguimiento de elementos ignorados, LOC, huellas digitales y metavariables esenciales fuera del proyecto abierto.
Esto no es sorprendente: Semgrep ha estado abandonando silenciosamente el motor de código abierto desde hace algún tiempo. El cambio de marca de “Semgrep OSS” a “Semgrep Community Edition” se siente como el último clavo en el ataúd.
¿Por qué?
¿Quizás la presión de los VCs, que ven las contribuciones de código abierto como una “canibalización” de los ingresos de SaaS, o la protección contra la competencia? Semgrep afirma que la medida fue para evitar que los proveedores utilizaran las reglas y el motor en ofertas SaaS de la competencia. Sin embargo, justo ayer, con su anuncio de “IA”, el fundador declaró: “el motor original de Semgrep está quedando obsoleto.”
Sea como fuere, aunque respetamos el espíritu competitivo, esta restricción del código abierto hace poco para detener a las organizaciones rivales. Más que nada, este movimiento socava la confianza de la comunidad, no solo en Semgrep, sino en todos los proyectos de código abierto.
«Este tipo de cambio también perjudica a todos los proyectos de código abierto similares. Cada empresa y cada desarrollador ahora necesita pensarlo dos veces antes de adoptar e invertir en un proyecto de código abierto en caso de que el creador decida de repente cambiar la licencia»... o limitar drásticamente la funcionalidad (Opentofu).
Este patrón es familiar: el cambio de licencia de Elasticsearch llevó a AWS a crear OpenSearch. El movimiento Opentofu surgió después del rugpull de Terraform de HashiCorp. El código abierto liderado por proveedores a menudo prioriza los intereses comerciales sobre la comunidad para llegar a las «grandes ligas». Y eso apesta.
Así que, estamos tomando medidas.
Nos hemos unido con 10 competidores directos para lanzar Opengrep, una postura coordinada y a nivel de toda la industria para mantener vivo un gran proyecto de código abierto y hacer del desarrollo de software seguro un estándar compartido y neutral para los proveedores.
Me acompañan Nir Valtman (CEO, Arnica), Ali Mesdaq (CEO, Amplify Security), Varun Badhwar (CEO, Endor Labs), Aviram Shmueli (CIO, Jit), Pavel Furman (CTO, Kodem), Liav Caspi (CTO, Legit), Eitan Worcel (CEO, Mobb) y Yoav Alon (CTO, Orca Security).
¿Qué puedes esperar de Opengrep?
Mejoras de rendimiento, desbloqueo de características solo para profesionales, soporte extendido de lenguajes, migración de características críticas de vuelta al motor y nuevos avances: compatibilidad con Windows, análisis entre archivos, la hoja de ruta es extensa.
Juntos, estamos uniendo capital comprometido y recursos de desarrollo OCAML para avanzar y comoditizar las Pruebas de seguridad de aplicaciones estáticas.
Porque seamos realistas, hay cosas más interesantes que construir. Encontrar es una cosa... centrémonos en el futuro, en cómo podemos encontrar y corregir vulnerabilidades de seguridad de forma rápida y automática. Centrémonos en que los desarrolladores vuelvan a construir.
¿Quieres saber más sobre Opengrep?
Lee el Manifiesto de Opengrep. Aprovecha y contribuye a Opengrep hoy mismo.
Para contribuir o unirte como patrocinador, abre un issue en GitHub.
Para la comunidad y los colaboradores, únete a la sesión de hoja de ruta abierta el 20 de febrero.
Síguenos en X. Linkedin.
“Asegurar que el futuro de SAST sea Abierto” En Opengrep con Mackenzie Jackson
Protege tu software ahora.
.jpg)
.avif)
