Opengrep 项目总结

项目背景

• 发起方：由包括 JIT 和 Orca Security 在内的软件公司联盟发起。
• 项目名称：Opengrep，是 Semgrep 开源软件的一个分支。
• 动机：响应 Semgrep OSS 版本中规则许可的变化。

Semgrep 简介

• 起源：2019 年从 Facebook 的早期项目 fork 而来。
• 功能：静态应用安全测试（SAST）工具，用于分析源代码或编译代码以发现安全漏洞。
• GitHub：拥有超过 11,000 星标。

许可变化

• 变化内容：Semgrep CE 中的规则提交许可变更，禁止在未经 Semgrep 明确授权的情况下在其他商业产品中使用这些规则。
• 影响：这一变化促使了 Opengrep 的 fork。

Opengrep 的目标

• 开放透明：保持项目和规则的开放和透明。
• 贡献系统：建立开放的基于贡献的系统。
• 功能恢复：恢复现在仅限于 Semgrep 付费版本的功能。

社区反应

• 支持：社区成员如 Reddit 用户 "confusedcrib" 和 "darrenpmeyer" 支持 Opengrep，认为其恢复了被移到付费版本的功能。
• 批评：Mark Curphey 在 crashoverride.com 的博客中批评 fork 行为，认为这是机会主义行为，并非为了社区或开源价值观。

Semgrep 的回应

• 创始人声明：Luke O'Malley 澄清 Semgrep OSS 本身仍然是开源的，许可变化是针对规则库的重新分发问题。
• 影响范围：使用 Semgrep OSS 而不进行重新打包和销售的用户不受影响。

未来展望

• 合作希望：Josh Grossman 希望 Opengrep 和 Semgrep 能够合作，共同维护一个社区驱动的引擎。
• 用户承诺：Opengrep 承诺提供更强大的扫描引擎，不隐藏功能，并保证与开放标准的 JSON 和 SARIF 输出的完全向后兼容。

下一步

• 开放路线图会议：定于 2025 年 2 月 27 日举行，更多信息可在 opengrep.dev 获取。