10 月 23 - 25 日,QCon 上海站即将召开,现在购票,享9折优惠 了解详情
写点什么

Opengrep 分叉了 Semgrep,以在许可证变更后解放规则集

作者:Matt Saunders

  • 2025-03-11
    北京
  • 本文字数:1571 字

    阅读完需:约 5 分钟

Opengrep分叉了Semgrep,以在许可证变更后解放规则集

包括 JIT 和 Orca Security 在内的软件公司联盟推出了 Opengrep,这是 Semgrep 开源软件的一个分叉(fork),以响应 OSS 版本中所提供的规则的许可证的变更。


Semgrep CE(前身为 Semgrep OSS)本身是于 2019 年从 Facebook 所编写的一个早期项目中分叉出来的。它是一个静态应用程序安全测试(SAST) 工具,用于分析源代码或编译后的代码,以发现安全漏洞,其 GitHub 存储库上有超过 11000 颗星。


新的 Opengrep 分叉背后的主要动机是修改了通过 semgrep/semgrep-rules 存储库提交给 Semgrep CE 的规则的许可证。该许可证现在禁止将提交给该项目的规则用于其他商业产品,除非有 Semgrep 明确授权。



该分叉项目的既定目标是保持项目引擎和规则的开放透明,采用开放的基于绩效的贡献系统,并恢复对现在仅限于 Semgrep 付费版本的功能的访问,Reddit 用户“confusedcrib”和“darrenpmeyer”的社区评论表明,指纹和元变量等功能已从 OSS 版本转移到了付费版本中。


Opengrep 宣言指出了 Semgrep 的许可证变更与近期其他许可证变更之间的相似之处。宣言解释了社区如何通过分叉项目来做出回应,并解释说:“当 Elasticsearch 改变其许可策略,停止推出新的 Elasticsearchs 和 Kibana 开源版本时,AWS 加紧推出了 OpenSearch。当 Hashicorp 停止 Terraform 开源时,社区与 Opentofu 走到了一起”。


Semgrep 的创始人兼首席运营官 Luke O’Malley 对这一批评做出了回应,他澄清道,Semgrep OSS 本身仍然是开源的,依然采用 LGPL 2.1 许可证,对规则库许可证的更改是为了应对一些公司重新分发规则库,这违反了现有的许可证。O’Malley 进一步解释说,出于自身目的使用 Semgrep OSS 的最终用户和公司不太可能受到新许可证的影响。


简而言之:如果你在使用 Semgrep 时没有将其打包和转售,你应该不会受到我们最近更改的影响。——Luke O’Malley


Mark Curphey 在 crashoverride.com 上发表的 一篇博客文章 对该分叉提出了批评。Curphey 为 Semgrep 进行了辩护,认为该分叉是不合理的,代表了那些历史上没有为该项目做出贡献的公司的机会主义行为。


[…] 该联盟是由多家企业或银行组成的组织,他们是为了共同的目标而联合起来的。这似乎是正确的,但我不认为其共同的目标是为了社区的利益或利他主义的开源价值。


他对 Semgrep 执行“开源 rug-pull”的说法提出了异议,并支持 Semgrep 的开放核心商业模式,在这种模式下,核心扫描仪是免费的,而附加功能是收费的。其他评论者同样持怀疑态度;Gullible-Chemist1794 在 Reddit 上写道:“我认为这个计划不会成功,因为所有支持 opengrep 的公司都是彼此的竞争对手,而且其中大多数是风险投资公司,迟早会出现利益冲突”。


Josh Grossman 在 BlueSky 上写道,他希望两大阵营能够合作:“就我个人而言,我真的希望 Opengrep 和 Semgrep 能够在多个供应商的大力支持下,合作开发一个由社区维护的引擎,同时也尊重 Semgrep 的商业权利”。


Opengrep 宣言最后详细介绍了用户能从中得到什么,承诺提供一个功能更强大的扫描引擎,不会将功能隐藏在登录之后,并与开放标准 JSON 和 SARIF 输出完全向后兼容。针对可能存在的批评,即由软件供应商组成的联盟来管理该项目,他们还做出了长期保证,即未来的改进不会被锁定在任何一家供应商身上。


Opengrep 的开放路线图会议定于 2025 年 2 月 27 日举行,更多信息请访问 opengrep.dev。


作者介绍


Matt Saunders 是 Adaptavist 的首席技术官的 DevOps 负责人。协助团队使用 DevOps、平台工程和云原生工具和技术,快速高效地交付可靠、高质量的软件,同时尽量减少压力。他曾与复杂的企业、小型初创企业、中小企业以及介于两者之间的所有企业合作过。还联合组织了伦敦 DevOps 聚会小组,该小组拥有 10000 多名成员,每月举办一次非常受欢迎的行业活动。


原文链接:


https://www.infoq.com/news/2025/02/semgrep-forked-opengrep/

2025-03-11 16:305679

评论

发布
暂无评论

斩获冠亚军!开源检索引擎Puck闪耀NeurIPS'2023

百度Geek说

搜索引擎 开源 企业号12月PK榜

macos冒险游戏推荐:索尼克梦之队Sonic Dream Team激活最新

胖墩儿不胖y

好玩的游戏推荐 Mac游戏分享

【终极教程】Cocos2dx服务端重构(优化cocos2dx服务端)

测试开发 | 循环神经网络(RNN):时序数据的魔法笔

测吧(北京)科技有限公司

测试

五种简单保护网站安全的方法看这里!

行云管家

网络安全 网站 数据安全 网站安全

DAPP双币质押收益系统开发丨源码搭建

l8l259l3365

测试开发 | 深度学习的引擎:神经网络结构探析

测吧(北京)科技有限公司

测试

Socket.D 基于消息的响应式应用层网络协议

不在线第一只蜗牛

网络协议 应用层 网络通讯

引领汽车营销新趋势,3DCAT实时云渲染助力汽车三维可视化

3DCAT实时渲染

实时渲染 实时渲染云 汽车三维可视化

【第七在线】可持续时尚与商品计划:减少库存浪费的方法

第七在线

测试开发 | 长短时记忆网络(LSTM):时序信息的记忆大师

测吧(北京)科技有限公司

测试

年终收官!华为云开发者日·2023年度创享峰会成功举办

华为云开发者联盟

人工智能 软件开发 华为云 华为云开发者联盟 华为云CodeArts

Tiktok怎样多开不封号?海外云手机就能解决!

Ogcloud

跨境电商 TikTok

条件编译 | AI工程化部署

AIWeker

c AI AI工程化部署

数字化时代:普通人的应对策略与准备

AI 计算机 数字化时代 自媒体 人工智能「

测试开发 | 卷积神经网络(CNN):图像识别的骨干

测吧(北京)科技有限公司

测试

杭州悦数成立「悦数图技术陆家嘴数据智能研究院」,入驻上海陆家嘴金融城「双城辉映」平台

悦数图数据库

分布式图数据库 图数据

对于企业软件系统而言,唯一重要的架构设计是什么

FN0

架构 软件系统

深度学习:人工智能的前沿探索

测吧(北京)科技有限公司

测试

全面解读《State of PostgreSQL 2023》报告

酷克数据HashData

危机来临,防御性编程能否帮助程序员抵御裁员风暴?

飞算JavaAI开发助手

技术人必修课:利用金字塔原理高效思考与表达

阿里技术

思考 金字塔 技术人 表达 表达的逻辑

亿级大表毫秒关联,荔枝微课基于腾讯云数据仓库Doris的统一实时数仓建设实践

腾讯云大数据

Doris

软件测试/测试开发丨测试用例价值与体系

测试人

软件测试 测试开发

以裸眼3D为例,未来户外数字媒体如何演变?

Dylan

技术 媒体 数字 3D 设备

Java多线程系列8:JDK中的管程实现之条件变量

BigBang!

Java多线程

Eclipse、IntelliJ IDEA、PyCharm三种IDE的区别

小魏写代码

Opengrep分叉了Semgrep,以在许可证变更后解放规则集_软件工程_InfoQ精选文章