TL;DR: 私たちはSemgrepCEのフォークであるOpengrepをオープンソースの締め出しに対応して立ち上げます。
私たちがオープングレップの発起人です。さっそく始めましょう:先月、セムグレップはOSSプロジェクトの大幅な変更を発表しました。)
2017年以来、Semgrepはオープンソースセキュリティコミュニティの要として、SaaS製品とともにコード解析エンジンとルールリポジトリを提供してきた。しかし、彼らの最近の動きは、「オープン」の本当の意味とは何かという疑問を提起している。
主な変更点には、コミュニティから提供されたルールを制限付きライセンスでロックすることや、無視の追跡、LOC、フィンガープリント、必須メタ変数のような重要な機能をオープンプロジェクトから移行することが含まれる。
これは驚くべきことではなく、Semgrepはしばらくの間、静かにオープンソースエンジンをやめていた。Semgrep OSS」から「Semgrep Community Edition」へのブランド変更は、棺桶に最後の釘を刺すような気分です。
なぜですか?
おそらくVCからの圧力か、オープンソースの貢献がSaaSの収益を "共食い "すると見てのことか、あるいは競合からの保護か。Semgrepは、ベンダーが競合するSaaS製品でルールとエンジンを使用するのを阻止するためだと主張している。しかし、つい昨日の「AI」の発表で、創業者は「オリジナルのSemgrepエンジンは時代遅れになりつつある」と宣言した。
いずれにせよ、競争心は尊重するが、このオープンソースの締め付けはライバル組織を止めることにはほとんどならない。何よりも、この動きはSemgrepだけでなく、オープンソースプロジェクト全体のコミュニティの信頼を損なうものである。
「この種の変更は、同様のオープンソース・プロジェクトすべてに害を及ぼす。すべての企業や開発者は、オープンソース・プロジェクトを採用し投資する前に、クリエイターが突然ライセンスを変更することを決めた場合に備えて、よく考える必要がある」...あるいは、機能を停止する(Opentofu)。
このパターンはよく知られている:ElasticsearchのライセンスシフトがAWSにOpenSearchを作らせた。Opentofuの動きは、HashiCorpによるTerraformの乱立の後に生まれた。ベンダー主導のオープンソースは、"大リーグ "に進出するためにコミュニティよりも商業的利益を優先することが多い。 そしてそれは最悪だ。
だから、私たちは行動を起こしている。
オープンソースプロジェクトを存続させ、セキュアなソフトウェア開発をベンダーニュートラルな共有標準にするために、業界全体で協調して立ち上がる。
Nir Valtman(Arnica、CEO)、Ali Mesdaq(Amplify Security、CEO)、Varun Badhwar(Endor Labs、CEO)、Aviram Shmueli(Jit 、CIO)、Pavel Furman(Kodem 、CTO)、Liav Caspi(Legit 、CTO)、Eitan Worcel(Mobb 、CEO)、Yoav Alon(Orca Security 、CTO)。
パフォーマンスの向上、プロ専用機能のアンロック、言語サポートの拡張、重要な機能のエンジンへのマイグレーション、そして新たな進化:Windows互換性、クロスファイル分析、ロードマップは長いです。
というのも、現実を直視しよう。セキュリティの脆弱性を発見し、自動的に素早く修正する方法を考えよう。開発者をビルドに戻すことに集中しよう。
オープングレップについてもっと知りたいですか?
Opengrepマニフェストを読む。
Opengrepに貢献したり、スポンサーとして参加するには、GitHubでissueを開いてください。
コミュニティと貢献者の方は、2月20日のオープンロードマップセッションにご参加ください。
X.Linkedinでフォローしてください。
「SASTの未来をオープンに」マッケンジー・ジャクソンとOpengrepで対談
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
