En respuesta a un cambio de licencia que restringe el uso libre de Semgrep, la empresa Endor Labs decidió crear un fork: Opengrep, una alternativa 100% open source, gratuita y con una estructura de gobernanza pensada para garantizar su libertad a largo plazo.
“La idea es crear un terreno más neutral y sostenible, donde ninguna empresa pueda simplemente quitar el tapete de debajo de los usuarios”, explicó Varun Badhwar, CEO y cofundador de Endor Labs.
¿Qué es Opengrep y por qué es importante su creación?
Opengrep nace como una bifurcación directa de Semgrep, una popular herramienta de escaneo de seguridad estática (SAST). Aunque a diferencia de su predecesor, Opengrep se compromete a mantener un acceso completamente libre y sin restricciones a sus capacidades.
El proyecto se basa en tres principios fundamentales:
- Escaneo sin límites: Todas las funciones están disponibles sin necesidad de iniciar sesión o pagar.
- Reglas más poderosas para la comunidad: Se desbloquean capacidades que antes eran exclusivas de usuarios premium.
- Gobernanza abierta: Mejores garantías de que el proyecto seguirá siendo libre y comunitario.
Además, es compatible con salidas JSON y SARIF, lo que lo hace fácil de integrar en flujos de trabajo existentes.
Mejoras Técnicas y Expansión
Opengrep no solo es un fork, también está siendo activamente mejorado. El equipo ya trabaja en:
- Mejorar el rendimiento del motor de escaneo.
- Soporte ampliado para plataformas como Windows.
- Análisis de múltiples archivos simultáneamente.
- Corregir limitaciones deliberadas de Semgrep para forzar el uso de su motor comercial.
“Queremos que los equipos de seguridad puedan confiar de verdad en esta herramienta. La meta es que el motor de Opengrep se convierta en un commodity: libre, potente y escalable para miles de desarrolladores en todo el mundo”, Varun Badhwar
Endor Labs no está sola. Varias empresas como Aikido Security, Arnica, Amplify, Kodem, Orca Security y más, están apoyando con contribuciones técnicas y de capital. Endor Labs incluso ha contratado ingenieros dedicados exclusivamente al desarrollo de Opengrep.
El Cambio de Licencia de Semgrep
El conflicto comenzó en diciembre, cuando Semgrep anunció que su edición gratuita (ahora llamada Semgrep Community Edition) quedaría limitada.
A partir de ahora:
- Las reglas mantenidas por Semgrep tienen una nueva licencia que prohíbe su uso en contextos SaaS o comerciales que compitan con ellos.
- Campos de salida JSON/SARIF clave quedan reservados para el motor comercial.
- Funciones experimentales solo estarán disponibles para usuarios con cuenta registrada y acceso al motor de pago.
Aunque Semgrep lo presenta como una actualización menor, la comunidad lo percibe como un endurecimiento de las condiciones, algo que ha causado gran molestia.
¿Qué sigue para Opengrep?
Opengrep busca ahora su lugar a largo plazo: ya sea como proyecto independiente o bajo el paraguas de alguna fundación como la CNCF o Linux Foundation.
“Queremos estabilizar la herramienta, construir una comunidad sólida y luego moverla a una fundación que garantice su desarrollo a largo plazo”, Badhwar
Por ahora, se están considerando todas las opciones, incluyendo donaciones, colaboración con fundaciones y alianzas estratégicas.
Conclusión
Lo que está pasando con Opengrep refleja una tendencia creciente: cuando los proyectos open source cierran puertas, la comunidad responde con forks que reafirman los valores de apertura, libertad y colaboración.
Como pasó con OpenTofu (el fork de Terraform), Opengrep podría convertirse en la nueva referencia en herramientas de escaneo de código abierto, al servicio de los desarrolladores y sin intereses comerciales condicionando su evolución.
¿Eres desarrollador o trabajas en seguridad? Este es un proyecto que definitivamente querrás tener en el radar en 2025.