Aikido
無料で始める
CC不要
ブログ
/
製品および会社のお知らせ

△Opengrepの立ち上げ|Semgrepをフォークした背景

執筆者
ウィレム・デルベール
公開日:
2025年1月24日

TL;DR: SemgrepCEのオープンソースに対する締め付けに対応し、そのフォークであるOpengrepを立ち上げます。

私たちはOpengrepの発起人です。詳細を見ていきましょう。先月、SemgrepはOSSプロジェクトに大きな変更を発表しました。もちろん、金曜日に戦略的に発表されました ;)

2017年以来、Semgrepはオープンソースセキュリティコミュニティの要として、SaaS製品とともにコード分析エンジンとルールリポジトリを提供してきました。しかし、彼らの最近の動きは、「オープン」が本当に意味するものとは何かという疑問を投げかけています。

主な変更点としては、コミュニティが貢献したルールを制限的なライセンスの下にロックし、無視の追跡、LOC、フィンガープリント、重要なメタ変数といった重要な機能をオープンプロジェクトから移行させたことが挙げられます。

これは驚くべきことではありません。Semgrepはしばらく前からオープンソースエンジンから静かに撤退していました。「Semgrep OSS」から「Semgrep Community Edition」へのブランド変更は、とどめの一撃のように感じられます。

なぜでしょうか?

おそらく、VCからの圧力で、オープンソースへの貢献がSaaSの収益を「共食い」していると見なされたか、あるいは競合からの保護でしょうか?Semgrepは、この動きはベンダーが競合するSaaS製品でルールとエンジンを使用するのを阻止するためだと主張しています。しかし、つい昨日、彼らの「AI」発表で、創業者は「オリジナルのSemgrepエンジンは時代遅れになりつつある」と宣言しました。

いずれにせよ、私たちは競争心を尊重しますが、このオープンソースに対する締め付けは、競合組織を阻止する効果はほとんどありません。何よりも、この動きはSemgrepだけでなく、オープンソースプロジェクト全般におけるコミュニティの信頼を損なうものです。

「このような変更は、すべての類似するオープンソースプロジェクトにも害を与えます。クリエイターが突然ライセンスを変更したり、機能を制限したり(Opentofu)する可能性を考慮し、すべての企業と開発者はオープンソースプロジェクトを採用し投資する前に二度考える必要があります。」

このパターンはよく知られています。Elasticsearchのライセンス変更により、AWSはOpenSearchを作成しました。HashiCorpのTerraformの「ラグプル」の後、Opentofuムーブメントが起こりました。ベンダー主導のオープンソースは、「ビッグリーグ」に到達するために、コミュニティよりも商業的利益を優先することがよくあります。そして、それは残念なことです。

そこで、私たちは行動を起こします。

私たちは10社の直接の競合他社と協力し、Opengrepを立ち上げました。これは、優れたオープンソースプロジェクトを存続させ、セキュアなソフトウェア開発をベンダーニュートラルな共通標準にするための、業界全体で協調した取り組みです。

私と共に参加しているのは、Nir Valtman氏(Arnica CEO)、Ali Mesdaq氏(Amplify Security CEO)、Varun Badhwar氏(Endor Labs CEO)、Aviram Shmueli氏(Jit CIO)、Pavel Furman氏(Kodem CTO)、Liav Caspi氏(Legit CTO)、Eitan Worcel氏(Mobb CEO)、Yoav Alon氏(Orca Security CTO)です。

Opengrepとその立ち上げスポンサー(Aikido Securityを含む)の価値

Opengrepで何が期待できますか?

パフォーマンスの向上、プロ限定機能の解放、言語サポートの拡張、重要な機能のエンジンへの移行、そして新しい進歩:Windows互換性、クロスファイル分析など、ロードマップは多岐にわたります。

私たちは、コミットされた資本とOCAML開発リソースを結集し、静的アプリケーションセキュリティテストを進化させ、コモディティ化していきます。

なぜなら、正直なところ、もっと面白い構築すべきものがあるからです。発見することは一つのことですが、将来に焦点を当て、セキュリティ脆弱性を自動で迅速に発見し修正する方法に注力しましょう。開発者が構築作業に戻れるように注力しましょう。

Opengrepについてもっと知りたいですか?

Opengrepマニフェストをお読みください。今すぐOpengrepを活用し、貢献しましょう。
貢献またはスポンサーとして参加するには、GitHubでissueを開いてください。

コミュニティおよび貢献者向けに、2月20日にオープンロードマップセッションにご参加ください。
XLinkedinでフォローしてください。

「SASTの未来をオープンに」 Mackenzie Jackson氏とのOpengrepでの対談より

Opengrep: Semgrepを再開する理由

   

最終更新日:
2025年5月28日
共有:

https://www.aikido.dev/blog/launching-opengrep-why-we-forked-semgrep

脅威ニュースをサブスクライブ

今すぐソフトウェアを保護します。

今日から無料で始めましょう。

無料で始める
CC不要
関連記事
すべて表示
すべて表示
2026年2月24日
製品および会社のお知らせ

設計上どのようにAikidoが、AIペネトレーションテストエージェントを確実に保護するのか

学び方 Aikido が、アーキテクチャの分離、実行時のスコープ強制、ネットワークレベルの制御により、AIペネトレーションテストエージェントを保護し、本番環境のドリフトやデータ漏洩を防ぐ方法を学びましょう。

#
AI ペネトレーションテスト
#
AI安全性
#
AI
2026年2月16日
製品および会社のお知らせ

検知から予防へ:Zen実行時にIDOR脆弱性に対処する方法

IDOR脆弱性は、マルチテナントSaaSにおけるテナント間データ漏洩の最も一般的な原因の一つです。Zen クエリを分析し、出荷前に安全でないアクセスを防止することで、実行時にテナント分離をどのようにZen をご覧ください。

#
RASP
2026年2月13日
製品および会社のお知らせ

アップグレード影響分析のご紹介:コードに実際に影響を与えるブレイキングチェンジとは

Aikido 依存関係のアップグレードにおける互換性のない変更を自動的に検出し、コードベースを分析して実際の影響を表示するため、チームは安全にセキュリティ修正をマージできます。

今すぐ、安全な環境へ。

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

スキャンを開始
CC不要
デモを予約する
クレジットカードは不要です | スキャン結果は32秒で表示されます。