AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

Opengrep 分叉了 Semgrep,以在许可证变更后解放规则集

作者:Matt Saunders

  • 2025-03-11
    北京
  • 本文字数:1571 字

    阅读完需:约 5 分钟

Opengrep分叉了Semgrep,以在许可证变更后解放规则集

包括 JIT 和 Orca Security 在内的软件公司联盟推出了 Opengrep,这是 Semgrep 开源软件的一个分叉(fork),以响应 OSS 版本中所提供的规则的许可证的变更。


Semgrep CE(前身为 Semgrep OSS)本身是于 2019 年从 Facebook 所编写的一个早期项目中分叉出来的。它是一个静态应用程序安全测试(SAST) 工具,用于分析源代码或编译后的代码,以发现安全漏洞,其 GitHub 存储库上有超过 11000 颗星。


新的 Opengrep 分叉背后的主要动机是修改了通过 semgrep/semgrep-rules 存储库提交给 Semgrep CE 的规则的许可证。该许可证现在禁止将提交给该项目的规则用于其他商业产品,除非有 Semgrep 明确授权。



该分叉项目的既定目标是保持项目引擎和规则的开放透明,采用开放的基于绩效的贡献系统,并恢复对现在仅限于 Semgrep 付费版本的功能的访问,Reddit 用户“confusedcrib”和“darrenpmeyer”的社区评论表明,指纹和元变量等功能已从 OSS 版本转移到了付费版本中。


Opengrep 宣言指出了 Semgrep 的许可证变更与近期其他许可证变更之间的相似之处。宣言解释了社区如何通过分叉项目来做出回应,并解释说:“当 Elasticsearch 改变其许可策略,停止推出新的 Elasticsearchs 和 Kibana 开源版本时,AWS 加紧推出了 OpenSearch。当 Hashicorp 停止 Terraform 开源时,社区与 Opentofu 走到了一起”。


Semgrep 的创始人兼首席运营官 Luke O’Malley 对这一批评做出了回应,他澄清道,Semgrep OSS 本身仍然是开源的,依然采用 LGPL 2.1 许可证,对规则库许可证的更改是为了应对一些公司重新分发规则库,这违反了现有的许可证。O’Malley 进一步解释说,出于自身目的使用 Semgrep OSS 的最终用户和公司不太可能受到新许可证的影响。


简而言之:如果你在使用 Semgrep 时没有将其打包和转售,你应该不会受到我们最近更改的影响。——Luke O’Malley


Mark Curphey 在 crashoverride.com 上发表的 一篇博客文章 对该分叉提出了批评。Curphey 为 Semgrep 进行了辩护,认为该分叉是不合理的,代表了那些历史上没有为该项目做出贡献的公司的机会主义行为。


[…] 该联盟是由多家企业或银行组成的组织,他们是为了共同的目标而联合起来的。这似乎是正确的,但我不认为其共同的目标是为了社区的利益或利他主义的开源价值。


他对 Semgrep 执行“开源 rug-pull”的说法提出了异议,并支持 Semgrep 的开放核心商业模式,在这种模式下,核心扫描仪是免费的,而附加功能是收费的。其他评论者同样持怀疑态度;Gullible-Chemist1794 在 Reddit 上写道:“我认为这个计划不会成功,因为所有支持 opengrep 的公司都是彼此的竞争对手,而且其中大多数是风险投资公司,迟早会出现利益冲突”。


Josh Grossman 在 BlueSky 上写道,他希望两大阵营能够合作:“就我个人而言,我真的希望 Opengrep 和 Semgrep 能够在多个供应商的大力支持下,合作开发一个由社区维护的引擎,同时也尊重 Semgrep 的商业权利”。


Opengrep 宣言最后详细介绍了用户能从中得到什么,承诺提供一个功能更强大的扫描引擎,不会将功能隐藏在登录之后,并与开放标准 JSON 和 SARIF 输出完全向后兼容。针对可能存在的批评,即由软件供应商组成的联盟来管理该项目,他们还做出了长期保证,即未来的改进不会被锁定在任何一家供应商身上。


Opengrep 的开放路线图会议定于 2025 年 2 月 27 日举行,更多信息请访问 opengrep.dev。


作者介绍


Matt Saunders 是 Adaptavist 的首席技术官的 DevOps 负责人。协助团队使用 DevOps、平台工程和云原生工具和技术,快速高效地交付可靠、高质量的软件,同时尽量减少压力。他曾与复杂的企业、小型初创企业、中小企业以及介于两者之间的所有企业合作过。还联合组织了伦敦 DevOps 聚会小组,该小组拥有 10000 多名成员,每月举办一次非常受欢迎的行业活动。


原文链接:


https://www.infoq.com/news/2025/02/semgrep-forked-opengrep/

2025-03-11 16:305616

评论

发布
暂无评论

10大功能特性,助力开发者玩转华为云API Explorer

API 华为云 华为开发者大会2023

ES 数据太敏感不让看,怎么办?

极限实验室

ES hash 数据脱敏; 敏感数据 正则脱敏

机器学习之PyTorch和Scikit-Learn第3章 使用Scikit-Learn的机器学习分类器之旅Part 1

Alan

人工智能 机器学习 PyTorch scikit-learn

Web前端常用的组态软件工具(可视化)

2D3D前端可视化开发

JavaScript web前端 组态软件 前端可视化 组态工具

达观曹植大模型正式对外公测!专注于长文本、多语言、垂直化发展

NLP资深玩家

大模型 达观数据 曹植大语言模型

安装使用舞台租赁LED显示屏的8大事项

Dylan

测试 安装 结构 LED显示屏

基础设施SIG月度动态:龙蜥官网新增CSDN第三方账号登录,内核CI新增测试任务停止功能

OpenAnolis小助手

开源 基础设施 内核 abs 龙蜥sig

火山引擎 DataLeap 构建Data Catalog系统的实践(三):关键技术与总结

字节跳动数据平台

企业号 7 月 PK 榜

如何有效检测、识别和管理 Terraform 配置漂移?

SEAL安全

[低代码平台、国产化]基于JPA的简易伪低代码模块

alexgaoyh

jpa 国产化 低代码开发平台 QUERYDS 动态列搜索

长达 1.7 万字的 explain 关键字指南!

不在线第一只蜗牛

sql 关键字 教程

Netty入门之可写事件以及多线程版的通信

派大星

袋鼠云产品功能更新报告06期|数栈产品功能升级,做产品我们是认真的!

袋鼠云数栈

大数据 产品 数据中台

智能网卡在分布式 SDN 网络的应用与实践 | 龙蜥技术

OpenAnolis小助手

云计算 sdn 龙蜥大讲堂 浪潮数据 智能网卡

如何写好代码

阿里技术

代码 如何写好代码

手把手教你落地大模型应用创意!全新AI达人创造营限时招募

飞桨PaddlePaddle

人工智能 百度 paddle 飞桨 百度飞桨

【会议】《卧龙:苍天陨落》制作人山际真晃与总监平山正和将联袂出席 2023 中国游戏开发者大会(CGDC)

CGDC中国游戏开发者大会

设计 开发 游戏开发 ChinaJoy

Opengrep分叉了Semgrep,以在许可证变更后解放规则集_软件工程_InfoQ精选文章