Endor Labs ввел Semgrep в OpenGrep, следуя тем, что Semgrep описывает как «обновление» давно надежной инструменты безопасности.
OpenGrep был создан со структурой управления для поддержания продолжения и неопределенной свободы использования с открытым исходным кодом, которую SEMGREP больше не предлагает, сообщил новому стеку Варун Бадхвар, генеральный директор и соучредитель Endor Labs.
«Главное, что мы пытаемся достичь, — это сделать OpenGREP более нейтральной почвой, гарантируя, что ни одна партия не сможет вытащить коврик из -под чего -то подобного», — сказал Бадхвар. «Вторая цель — обеспечить достаточное количество капитальных инвестиций, чтобы закрыть любые пробелы, которые SEMGREP ввел в результате их изменений».
Кроме того, Badhwar сказал, что разработчики OpenGREP повышают производительность, добавляя большую поддержку для платформ, таких как Windows, обеспечивая многофилейный анализ и решает «многие из пробелов, которые SEMGREP намеренно создал или поддерживал с течением времени, чтобы подтолкнуть пользователей к их оплачиваемому двигателю».
OpenGrep построен на трех основных принципах, согласно документации:
- Лучший и более способный сканирующий двигатель, не скрывая необходимые метаданные и новые возможности сканирования, стоящие за входом в систему. OpenGrep будет обратно совместимы и поддержит обычные выходы JSON и SARIF, что позволит вам принять и интегрировать OpenGrep OSS в ваши рабочие процессы;
- Улучшенный двигатель означает более способные правила сообщества, разблокируя ранее только профессиональные возможности.
- Долгосрочная гарантия того, что будущие улучшения и функции не будут заблокированы на конкретных поставщиков.
Ваш вклад в OpenGREP и PRS регулярно рассматривается и принимается по заслугам, не зависящим от коммерческих интересов какой -либо отдельной компании.
Для разработчиков был создан OpenGrep:
- Полный доступ ко всем возможностям сканирования без ограничений функций.
- Обратная совместимость с существующими рабочими процессами и выходами JSON/SARIF.
- Портативные правила безопасности, которые работают в любой среде.
- Развитие на основе сообщества.
- Долгосрочная стабильность через управление фондом.
Тенденция обратной реакции
Этот шаг отражает тенденции отрасли, поскольку популярные проекты с открытым исходным кодом раздвоены, когда условия использования изменяются, чтобы стать более ограничительными. Примечательный пример включает в себя разбрызгивание Фонда Linux в Terraform Hashicorp в Opentofu. OpenGrep Project OpenGrep с открытым исходным кодом был инициирован в ответ на то, что Semgrep описывает как обновление лицензии, а не изменение.
Тем не менее, с декабря эти обновления сделали использование SEMGREP для коммерческих целей немного более ограничительными. Новое издание Semgrep Community Edition в настоящее время является частью конкурирующего программного обеспечения как услуги.
Endor Labs давно поддерживает инициативы с открытым исходным кодом и предпринимает значительную задачу применения мер безопасности для открытого исходного кода. Платформа Endor Labs, среди прочего, может использоваться для проверки Gitlab и другого кода репозитория, который часто может содержать многочисленные уязвимости.
Перед обновлениями лицензирования SEMGREP в декабре Endor Labs внесла значительный вклад в проект, известный тем, что служил особенно надежным инструментом для статического тестирования безопасности приложений (SAST). SAST обеспечивает соблюдение стандартов и политики кода для изменений, коммитов и интеграции кода. Aikido Security, Arnica, Amplify, JIT, Kodem, Legit Security, MOBB, ORCA Security и другие поддерживают и вносят свой вклад в проект OpenGREP. Такие компании, как Endor Labs, предоставят ресурсы, такие как позволяют своим внутренним инженерам работать неполный рабочий день над проектом. Endor Labs также внесли капитал, нанял двух постоянных инженеров и ищет «добавить еще пару, которые просто работают над OpenGrep»,-сказал Бадхвар.
«Мы хотим, чтобы группы безопасности приложений по всему миру могли по -настоящему полагаться на эту важную часть программного обеспечения, потому что наш тезис заключается в том, что двигатель в конечном итоге является двигателем OpenGrep. Таким образом, это не ракетостроение, но ценность для организаций и пользователей может писать свои собственные правила поверх этого двигателя », — сказал Бадхвар. «Итак, мы действительно хотим, чтобы двигатель был товаром, если он правильно построен и правильно масштабировался … Мы собираемся дать людям свободу и гибкость, чтобы сделать это, и на самом деле просто убедитесь, что этот товар открытого двигателя OpenGrep, если вы будете хорошо построен и хорошо масштабирован для потребностей сотен тысяч людей во всем мире ».
Новый мир Semgrep
В соответствии с новыми условиями использования пользователи SEMGREP будут иметь доступ только к новым функциям, представленным в рамках правил, соответствующих сообществу, посредством его оплачиваемого или коммерческого предложения. По сути, пользователям придется платить за эти функции. Кроме того, другие функции были перемещены за платформу с оплатой за SAAS. SEMGREP преуменьшил новые ограничения, прикрепленные к использованию SAST.
В сообщении в блоге Люк О’Мэлли, основатель и директор по продукту Semgrep, написал:
Мы делаем несколько обновлений для двигателя и правил Semgrep OSS-теперь в настоящее время названным Semgrep Community Edition-чтобы лучше отличить их бесплатный характер, ориентированный на сообщество от наших коммерческих предложений, и уточнить, что другие поставщики не могут использовать правила Semgrep Community Edition как часть конкурирующего программного обеспечения в качестве предложения услуг.
Начиная с сегодняшнего дня:
- Semgrep Community Edition: Semgrep OSS теперь называется Semgrep Community Edition, отражая его роль бесплатного, ориентированного на сообщество инструмента.
- Изменение лицензии на правила: Уканированные SEMGREP правила в настоящее время лицензированы в соответствии с лицензией по правилам SEMGREP V.1.0, так что они доступны только для внутренних, неконкурентных и не-SAAS Contexts.
- Очистка вывода: определенные поля SEMGREP-Internal в выходе JSON и SARIF теперь зарезервированы для нашего зарегистрированного коммерческого двигателя.
- Экспериментальные функции: функции, ранее отмеченные экспериментальные эксперимента, теперь являются частью нашего зарегистрированного коммерческого двигателя.
Между тем, будущее OpenGREP состоит из возможного сотрудничества и пожертвований для «всех фундаментов и всех видов вариантов», безусловно, на столе », сказал Бадхвар. «Мы получаем большой интерес со стороны разных организаций», — сказал он. «Мы просто ищем лучший долгосрочный дом, где он продолжает получать инвестиции, которые он заслуживает, и обеспечивает основу».
Когда его спросили, может ли OpenGrep быть пожертвован в CNCF в качестве проекта песочницы, Badhwar сказал, что еще не было решено, должен ли проект стать проектом Linux Foundation или «чем -то независимым». «План состоит в том, чтобы стабилизировать его, опираться на него, получить сообщество за ним, а затем перевести его в фонд», — сказал Бадхвар.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. BC Gain является основателем и главным аналитиком Revecom Media. Его одержимость компьютерами началась, когда он взломал консоль космических захватчиков, чтобы играть весь день за 25 центов в местной видеокаде в начале 1980 -х годов. Затем он … читайте больше от B. Cameron Gain