Lanzamiento de Opengrep | Por qué hemos bifurcado Semgrep

TL;DR: Estamos lanzando Opengrep, una bifurcación de SemgrepCE, en respuesta a su cierre de código abierto.

Somos los iniciadores de Opengrep. Entremos en materia: El mes pasado, Semgrep anunció cambios importantes en su proyecto OSS -estratégicamente programados para un viernes, por supuesto ;)

Desde 2017, Semgrep ha sido una piedra angular de la comunidad de seguridad de código abierto, ofreciendo un motor de análisis de código y un repositorio de reglas junto con su producto SaaS. Pero sus recientes movimientos plantean la pregunta: ¿qué significa realmente "abierto"?

Los cambios clave incluyen el bloqueo de las reglas aportadas por la comunidad bajo una licencia restrictiva y la migración de características críticas como el seguimiento de ignorados, LOC, huellas dactilares y metavariables esenciales fuera del proyecto abierto.

Esto no es sorprendente, Semgrep ha estado abandonando silenciosamente el motor de código abierto durante algún tiempo. El cambio de marca de "Semgrep OSS" a "Semgrep Community Edition" parece el último clavo en el ataúd.

¿Por qué?

¿Quizá la presión de los inversores de capital riesgo, que consideran que las contribuciones de código abierto "canibalizan" los ingresos de SaaS, o la protección frente a la competencia? Semgrep afirma que la medida tenía por objeto impedir que los proveedores utilizaran las reglas y el motor en ofertas SaaS de la competencia. Sin embargo, ayer mismo, con su anuncio de "IA", el fundador declaró que "el motor original de Semgrep se está quedando obsoleto".

Sea como fuere, aunque respetamos el espíritu competitivo, esta represión del código abierto hace poco por detener a las organizaciones rivales. Más que nada, esta medida socava la confianza de la comunidad, no sólo en Semgrep, sino en todos los proyectos de código abierto.

"Este tipo de cambio también perjudica a todos los proyectos similares de código abierto. Ahora, todas las empresas y todos los desarrolladores deben pensárselo dos veces antes de adoptar un proyecto de código abierto e invertir en él, por si el creador decide de repente cambiar la licencia"... o amputar la funcionalidad (Opentofu).

Este patrón es familiar: El cambio de licencia de Elasticsearch llevó a AWS a crear OpenSearch. El movimiento Opentofu surgió tras la retirada de Terraform de HashiCorp. El código abierto liderado por vendedores a menudo prioriza los intereses comerciales sobre la comunidad para llegar a las "grandes ligas". Y eso apesta.

Así que estamos tomando medidas.

Nos hemos unido a 10 competidores directos para lanzar Opengrep, una postura coordinada de todo el sector para mantener vivo un gran proyecto de código abierto y hacer del desarrollo de software seguro un estándar compartido y neutral para los proveedores.

Me acompañan Nir Valtman (CEO, Arnica), Ali Mesdaq (CEO, Amplify Security), Varun Badhwar (CEO, Endor Labs), Aviram Shmueli (CIO, Jit), Pavel Furman (CTO, Kodem), Liav Caspi (CTO, Legit), Eitan Worcel (CEO, Mobb) y Yoav Alon (CTO, Orca Security).

¿Qué puede esperar de Opengrep?

Mejoras de rendimiento, desbloqueo de funciones exclusivas para profesionales, ampliación de la compatibilidad de idiomas, migración de funciones críticas al motor y nuevos avances: compatibilidad con Windows, análisis de archivos cruzados... La hoja de ruta es larga.

Juntos, estamos aunando el capital comprometido y los recursos de desarrollo de OCAML para avanzar y comercializar las pruebas estáticas de seguridad de las aplicaciones.

Porque admitámoslo, hay cosas más interesantes que construir. Encontrar es una cosa... centrémonos en el futuro, en cómo podemos encontrar y solucionar vulnerabilidades de seguridad de forma rápida y automática. Centrémonos en hacer que los desarrolladores vuelvan a construir.

¿Quiere saber más sobre Opengrep?

Lee el Manifiesto Opengrep. Aprovecha y contribuye a Opengrep hoy mismo.
Para contribuir o unirte como patrocinador, abre una incidencia en GitHub.

Para la comunidad y los contribuidores, únete a la sesión abierta sobre la hoja de ruta el 20 de febrero.
Síguenos en X. Linkedin.

"Garantizar que el futuro del SAST sea abierto" En Opengrep con Mackenzie Jackson