Lancement d'Opengrep | Pourquoi nous avons forké Semgrep

TL;DR : Nous lançons Opengrep, un fork de SemgrepCE, en réponse à sa fermeture en open-source.

Nous sommes les initiateurs d'Opengrep. Entrons dans le vif du sujet : Le mois dernier, Semgrep a annoncé des changements majeurs dans son projet OSS - stratégiquement programmés pour un vendredi, bien sûr ;)

Depuis 2017, Semgrep est une pierre angulaire de la communauté de la sécurité open-source, offrant un moteur d'analyse de code et un référentiel de règles parallèlement à son produit SaaS. Mais leurs récents mouvements soulèvent la question : que signifie réellement "ouvert" ?

Les principaux changements incluent le verrouillage des règles contribuées par la communauté sous une licence restrictive et la migration de fonctionnalités critiques telles que le suivi des ignorés, des LOC, des empreintes digitales et des métavariables essentielles hors du projet ouvert.

Ce n'est pas surprenant - Semgrep a discrètement quitté le moteur open-source depuis un certain temps. Le changement de marque de "Semgrep OSS" à "Semgrep Community Edition" semble être le dernier clou du cercueil.

Pourquoi ?

Peut-être la pression des sociétés de capital-risque, qui considèrent que les contributions aux logiciels libres "cannibalisent" le chiffre d'affaires de SaaS, ou la protection contre la concurrence ? Semgrep affirme qu'il s'agit d'empêcher les fournisseurs d'utiliser les règles et le moteur dans des offres SaaS concurrentes. Pourtant, pas plus tard qu'hier, lors de l'annonce de leur "IA", le fondateur a déclaré que "le moteur original de Semgrep devient obsolète".

Quoi qu'il en soit, bien que nous respections l'esprit de compétition, cette répression contre les logiciels libres ne fait pas grand-chose pour arrêter les organisations rivales. Plus que tout, cette décision sape la confiance de la communauté, non seulement dans Semgrep, mais aussi dans l'ensemble des projets open-source.

"Ce type de changement nuit également à tous les projets open-source similaires. Chaque entreprise et chaque développeur doit désormais réfléchir à deux fois avant d'adopter et d'investir dans un projet open-source au cas où le créateur déciderait soudainement de changer la licence"... ou de supprimer la fonctionnalité (Opentofu).

Ce schéma est familier : Le changement de licence d'Elasticsearch a conduit AWS à créer OpenSearch. Le mouvement Opentofu est né après le retrait de Terraform de HashiCorp. Les logiciels libres dirigés par des fournisseurs privilégient souvent les intérêts commerciaux au détriment de la communauté afin d'entrer dans la "cour des grands". Et ça craint.

Nous prenons donc des mesures.

Nous nous sommes unis à dix concurrents directs pour lancer Opengrep - une action coordonnée à l'échelle de l'industrie pour maintenir en vie un grand projet open-source et faire du développement de logiciels sécurisés une norme partagée et neutre pour les fournisseurs.

Je suis accompagné de Nir Valtman (PDG, Arnica), Ali Mesdaq (PDG, Amplify Security), Varun Badhwar (PDG, Endor Labs), Aviram Shmueli (CIO, Jit), Pavel Furman (CTO, Kodem), Liav Caspi (CTO, Legit), Eitan Worcel (PDG, Mobb), et Yoav Alon (CTO, Orca Security).

Que pouvez-vous attendre d'Opengrep ?

Amélioration des performances, déblocage des fonctionnalités réservées aux professionnels, extension du support des langues, migration des fonctionnalités critiques vers le moteur, et nouvelles avancées : compatibilité Windows, analyse croisée des fichiers, la feuille de route est longue.

Ensemble, nous mettons en commun les capitaux engagés et les ressources de développement de l'OCAML pour faire progresser et banaliser les tests statiques de la sécurité des applications.

Car il faut bien l'admettre, il y a des choses plus intéressantes à construire. Trouver est une chose... concentrons-nous sur l'avenir, sur la façon dont nous pouvons trouver et corriger les vulnérabilités de sécurité rapidement et automatiquement. Concentrons-nous sur le fait de ramener les développeurs à la construction.

Vous voulez en savoir plus sur Opengrep ?

Lisez le Manifeste Opengrep. Tirez parti d'Opengrep et contribuez-y dès aujourd'hui.
Pour contribuer ou vous joindre à un sponsor, ouvrez une question sur GitHub.

Pour la communauté et les contributeurs, rejoignez la session ouverte de la feuille de route le 20 février.
Suivez-nous sur X. Linkedin.

"L'avenir de SAST est ouvert" sur Opengrep avec Mackenzie Jackson