TL;DR : Nous lançons Opengrep, un fork de SemgrepCE, en réponse à sa restriction de l'open source.
Nous sommes les initiateurs d'Opengrep. Entrons dans le vif du sujet : Le mois dernier, Semgrep a annoncé des changements majeurs à son projet OSS, stratégiquement programmés pour un vendredi, bien sûr ;)
Depuis 2017, Semgrep a été une pierre angulaire de la communauté de la sécurité open source, offrant un moteur d'analyse de code et un dépôt de règles aux côtés de son produit SaaS. Mais leurs récentes actions soulèvent la question : que signifie réellement le terme « open » ?
Les changements clés incluent le verrouillage des règles contribuées par la communauté sous une licence restrictive et la migration de fonctionnalités critiques comme le suivi des ignorés, les LOC, les empreintes digitales et les métavariables essentielles hors du projet open source.
Ce n'est pas surprenant : Semgrep a discrètement abandonné le moteur open source depuis un certain temps. Le changement de marque de « Semgrep OSS » à « Semgrep Community Edition » sonne comme le coup de grâce.
Pourquoi ?
Peut-être la pression des VCs, considérant les contributions open source comme « cannibalisant » les revenus SaaS, ou une protection contre la concurrence ? Semgrep affirme que cette décision visait à empêcher les fournisseurs d'utiliser les règles et le moteur dans des offres SaaS concurrentes. Pourtant, pas plus tard qu'hier, avec leur annonce sur l'« IA », le fondateur a déclaré : « le moteur Semgrep original est en train de devenir obsolète. »
Quoi qu'il en soit, bien que nous respections l'esprit de compétition, cette répression de l'open source ne fait pas grand-chose pour arrêter les organisations rivales. Plus que tout, cette décision sape la confiance de la communauté, non seulement envers Semgrep, mais aussi envers l'ensemble des projets open source.
« Ce type de changement nuit également à tous les projets open source similaires. Chaque entreprise et chaque développeur doit désormais y réfléchir à deux fois avant d'adopter et d'investir dans un projet open source au cas où le créateur déciderait soudainement de changer la licence »... ou de brider les fonctionnalités (Opentofu).
Ce schéma est familier : le changement de licence d'Elasticsearch a conduit AWS à créer OpenSearch. Le mouvement Opentofu est né après le 'rugpull' de Terraform par HashiCorp. L'open-source dirigé par les fournisseurs privilégie souvent les intérêts commerciaux au détriment de la communauté pour atteindre les 'grandes ligues'. Et c'est nul.
Nous passons donc à l'action.
Nous nous sommes unis à 10 concurrents directs pour lancer Opengrep – une position coordonnée à l'échelle de l'industrie pour maintenir en vie un grand projet open source et faire du développement logiciel sécurisé une norme partagée et neutre vis-à-vis des fournisseurs.
Je suis accompagné de Nir Valtman (CEO, Arnica), Ali Mesdaq (CEO, Amplify Security), Varun Badhwar (CEO, Endor Labs), Aviram Shmueli (CIO, Jit), Pavel Furman (CTO, Kodem), Liav Caspi (CTO, Legit), Eitan Worcel (CEO, Mobb) et Yoav Alon (CTO, Orca Security).
Que pouvez-vous attendre d'Opengrep ?
Des améliorations de performance, le déverrouillage de fonctionnalités réservées aux professionnels, la prise en charge de langages étendue, la migration de fonctionnalités critiques vers le moteur, et de nouvelles avancées : compatibilité Windows, analyse inter-fichiers, la feuille de route est longue.
Ensemble, nous mettons en commun des capitaux engagés et des ressources de développement OCAML pour faire progresser et démocratiser les Tests de sécurité des applications statiques.
Parce qu'il faut bien l'admettre, il y a des choses plus intéressantes à construire. La détection est une chose... concentrons-nous sur l'avenir, sur la manière dont nous pouvons trouver et corriger rapidement et automatiquement les vulnérabilités de sécurité. Concentrons-nous sur le fait de permettre aux développeurs de se remettre à construire.
Envie d'en savoir plus sur Opengrep ?
Lisez le Manifeste Opengrep. Tirez parti d'Opengrep et contribuez-y dès aujourd'hui.
Pour contribuer ou devenir sponsor, ouvrez une issue sur GitHub.
Pour la communauté et les contributeurs, rejoignez la session de feuille de route ouverte le 20 février.
Suivez-nous sur X. Linkedin.
« Assurer l'avenir du SAST est Open » Sur Opengrep avec Mackenzie Jackson
Sécurisez votre logiciel dès maintenant.
.jpg)
