Dokuz uygulama güvenlik hizmeti sağlayıcısından oluşan bir grup, isimsiz girişimin bir dizi hamlesi, firmaların açık kaynak yazılımını kullanmasını zorlaştırdıktan sonra, yeni bir kod tabanı oluşturarak popüler kod tarama projesi Semgrep’i “çatalla” yapacaklarını açıkladı. kendi ürünleri.
Aikido Security, Arnica, Güvenlik, Endor Labs, JIT, Kodem, yasal güvenlik, MOBB ve ORCA Güvenliği – Semgrep’in açık kaynak motorunun bazı yeteneklerini girişimin ücretli sürümüne taşıdığını açıkladıktan sonra inisiyatife giren şirketler – şirketler. OpenGrep olarak adlandırılan yeni proje, SEMGREP Community Edition – daha az GNU Kamu Lisansı (LGPL) – ile aynı lisans altında kalıyor, ancak gelişmiş özellikleri ve JSON ve SARIF formatlarında verileri dışa aktarma yeteneğini geri yükleyecek ve bir açık kaynak oluşturacak Kural veritabanı.
OpenGREP girişimi, tek bir şirkete ait olmayan ve kurumsal kullanıcıların ve projenin arkasındaki şirket grubunun ihtiyaçlarına uygun olarak geliştirilebilen tarafsız bir açık kaynak projesi oluşturmayı amaçlıyor, diyor Varun Badhwar Yazılım tedarik zinciri güvenlik firması Endor Labs, OpenGrep’e sponsor olan şirketlerden biri.
“Hepimiz şu anda bunu toplu olarak finanse ediyoruz, ancak projeyi dengeledikten sonra amacımız bunu doğru topluluğa teslim etmek … satıcılar olarak – bu uzun vadeye sahip olmak istemiyoruz” diyor. “Bu bizim için geçici bir adımdır – tek bir satıcıya değil, birden fazla tarafa ait bir şey yaratmak için [that] bir gecede bir değişiklik yapmaya karar verebilir. “
Açık kaynak bölünmesi için tetikleyici etkinlik 13 Aralık’ta geldi. SEMGREP Değişiklikleri Ana Çıkardı Görünüşe göre küçük – ama yine de önemli – özelliklere sahipti. Şirket, ikincisini “topluluk baskısına” yeniden adlandırarak, lisansın yalnızca kural setinin dahili kullanımına izin verdiğini ve topluluk baskısının ortak alanları dışa aktarma yeteneğini kaldırarak açık kaynak projesinden daha fazla tanımlamaya çalıştı. JSON ve statik analiz sonuçları değişim formatı (SARIF) gibi çıkış formatları.
Esasen, firma, çekirdek motorun açık kaynaklı bir lisans kullanarak kamuya açıklandığı açık çekirdek bir model izledi, ancak daha gelişmiş özellikler tescilli hale getirildi.
Semgrep baş ürün sorumlusu ve kurucusu Luke O’Malley, “Güvenlik uygulayıcılarının ticari bir platformda neyin mantıklı olduğu neyin anlamlı, açık kaynaklı bir araçta neyin uygun olduğunu netleştirdiğimizi hissediyorum.” Diyor. “Platform odaklı parmak izi gibi özellikler CE’nin temel misyonunun ötesine geçiyor. Bakımcılar olarak kendimize soruyoruz: Topluluğun çoğunluğu bunu adil olarak görüyor mu? Bu prensip, CE’de neye ve ticari teklifimizde ne olduğunu geniş ölçüde yönlendiriyor.”
Serbest yükleme ve büyüyen bir boşluk
. OpenGREP projesinin oluşturulması bazı uygulama güvenlik uzmanları arasında bir Kerfuffle yarattı ve bazıları şirketleri finansman yerine Forking için eleştirdi, SEMGREP’in açık kaynak çekirdeği. Birçok yönden, girişim destekli şirketlerin kendi ürünlerini başlatmak için açık kaynaklı bir proje kullandıkları bir oyun kitabının bir parçasıdır. 29 Ocak sütununda.
“[W]Hy World the World, canlı bir topluluğa sahip başarılı bir açık kaynaklı güvenlik projesi zorlar mı? “Dedi.” Dedi. Para kazandıkları projelere oldukça katkıda bulunmuyorlar. Lisans şartları içinde kaldıkları sürece ve ne yazık ki yaşam gerçeği. “
Başka bir uygulama güvenlik projesine – Dinamik Uygulama Güvenlik Testi için kullanılan açık kaynak ZED Saldırı Proxy (ZAP) – geliştirme sırasında benzer ticari sorunlara maruz kalan, ” Düzine Ticari Dast Hizmetleri ” açık kaynak kod tabanını ürünlerinin temeli olarak kullandı. Uygulama Güvenlik Firması CheckMarx, üç ZAP bakımını da işe aldı ve Projeyi finanse etmeye kararlıkendi Dast çözümünün temelini oluşturan.
Curphey’in zihninde Semgrep’in çabaları yararlandı.
Dark Reading’e bir röportajda, “Açık kaynak finansmanının inanılmaz derecede karmaşık olduğunu düşünüyorum, ancak bu doğru hissetmiyor ve bu şirketlerin bunu yapması benim için ikiyüzlü hissettiriyor.”
OpenGrep için daha fazla özellik?
Bununla birlikte, Endor Labs ‘Badhwar, OpenGrep’in kod tarama motorunun daha özellikli bir sürümü olacağını savunuyor çünkü SEMGREP profesyonel AppSec platformu ile açık kaynak motoru arasında yavaş yavaş bir boşluk yaratmıştı-açık kaynaklı motoru-açık kaynaklı bir uygulama oluşturan şirketler arasında yaygın bir uygulama Çekirdek teknolojiler.
Topluluk baskısının yaratılması ve Bazı “deneysel” özelliklerin kaldırılması Badhwar, OpenGrep şirketlerinin değerli olduğunu düşündüğünü, SEMGREP motorunu hizmet tekliflerinin bir parçası olarak kullanan ticari satıcılar arasında alarm verdiğini söylüyor.
“Topluluğun Semgrep’in açık kaynak versiyonundaki boşlukları kapatacak şeylere katkıda bulunmaya çalıştığı birkaç örnek var … Motorun koruyucularının mutlaka kabul etmemeyi ve dahil etmemeyi seçtikleri” diyor. “Bence çok netleşiyordu … Semgrep’in en büyük rakibinin kendi açık kaynak motorları olduğu ve bu yüzden daha büyük bir boşluk yaratmaya çalışıyorlardı.”
OpenGrep, proje üzerinde çalışmak için iki yazılım mühendisini zaten finanse etti ve bir yol haritasını tartışacak 20 Şubat toplantısı sırasında.
Bu gerilim diğer açık kaynak projeleriyle de oynandı. Örneğin, açık kaynaklı arama motoru Elasticsearch, açık çekirdek bir proje olarak geliştirilmişti, ancak elastik Ocak 2021’de lisansı değiştirdi Yönetilen servis sağlayıcıların yazılımı hizmetlerinin temeli olarak kullanmasını kısıtlamak. Aynı ay, bir grup Amazon Web Hizmet Mühendisleri bir çatal yarattı, opensearchtopluluğa açık bir sürüm kullanma yeteneği vermek.
Semgrep’in durumunda, kurucu O’Malley, şirketin topluluk baskısını bakımlı ve güçlü tutma teşvikine sahip olduğunu savunurken, OpenGREP ekibi ürünlerinin bir gelişme olacağını göstermedi. İki paralel proje asla ideal değil diyor.
O’Malley, “Birden fazla çatal karışıklık yaratabilir, bu da bireylerin nereye katkıda bulunacağını ve neyin aktif olarak korunacağını bilmesini zorlaştırır.” Diyor. “Bu her zaman açık kaynakta parçalanma riskidir. Önceliğimiz, SEMGREP CE’yi güçlü, bakımlı ve büyüyen. ekosistem.”