Spojte se s námi

Kybernetická bezpečnost

Open-Source alternativy uprostřed licenční kontroverze Semgrep

mm
Zveřejněno

Bezpečnostní komunita byla svědkem seismického posunu v lednu 2025, když se konkurenční společnosti sjednotily ke spuštění Opengrep—fork nástroje pro testování bezpečnosti statických aplikací, Semgrep. Kdysi oslavován pro svůj komunitně řízený open source étos, Semgrep vyvolalo kontroverzi, když v prosinci 2024 změnila svůj model licencování. Tyto změny licencování omezily použití přidaných pravidel v komerčních produktech a posunuly klíčové funkce za paywall.

Semgrep se stal základním nástrojem pro vývojáře po celém světě díky své schopnosti detekovat zranitelnosti napříč více programovacími jazyky. Rozhodnutí společnosti však riskuje potlačení inovací v oblasti životně důležité pro moderní kybernetickou bezpečnost.

Uprostřed této kontroverze byl spuštěn startup DevSecOps DeepSource Globstar, nová open-source sada nástrojů pro zabezpečení kódu. Globstar, vytvořený od nuly a vydaný pod licencí MIT, říká, že jeho cílem je poskytnout neomezený komerční a úplný veřejný přístup ke svému kódu.

"Prostřednictvím Globstar nabízíme nový přístup k vlastní statické analýze, navržený s ohledem na potřeby bezpečnostních týmů. Vznikl z interního rámce, který jsme vyvinuli pro detekci hrozeb." Sanket Saurav, spoluzakladatel a generální ředitel společnosti DeepSource, řekl mi. "Semgrep je již ve schopných rukou a naším cílem bylo vydat se jinou cestou. Nevidíme se jako náhrada, ale alternativa, která přináší nový pohled do prostoru."

Společnost získala finanční prostředky v celkové výši 7.7 milionu USD a v současné době je podporována investory Y-Combinator.

Globstar, vyvinutý s využitím programovacího jazyka Go a integrovaný s Tree-sitter, podporuje více než 20 programovacích jazyků. Sada nástrojů obsahuje intuitivní rozhraní YAML pro vytváření vlastních kontrolerů zabezpečení a pokročilé rozhraní Go pro komplexní analýzu mezi soubory.

„Když se projekt rozvětvuje, často se ubírá jinou trajektorií – ale když je omezeno stavět na stávajícím produktu, může být inovace omezena,“ řekl Sanket. "Vytvořili jsme systém, který zjednodušuje proces psaní vlastních kontrolerů kódu."

Obchodní nezbytnost versus ochrana open-source

Dne 13. prosince 2024 společnost Semgrep přepracovala svůj licenční model tak, aby omezil použití pravidel přispívaných třetími stranami v konkurenčních komerčních produktech bez povolení. Kromě toho společnost přejmenovala svou verzi open source na „Semgrep CE“ (Community Edition). Semgrep tvrdí, že jeho změny licencí jsou zásadní pro ochranu duševního vlastnictví a zajištění udržitelných příjmů. Společnost tvrdí, že omezení komerčního použití pomáhá omezit neoprávněné přebalování a podporuje dlouhodobé inovace.

"Když inženýři píší kód, aby vyřešili problém, statická analýza prozkoumá kód bez spuštění, identifikuje vzory a potenciální problémy v rané fázi vývojového procesu. Semgrep je v tomto prostoru respektovaným hráčem a já si ho velmi vážím," řekl Sanket. "Jejich posun v licencování pro komerční uživatele však odráží širší realitu: společnosti podporované VC musí vyvážit principy open source s udržitelnými obchodními modely."

Poznamenává, že ačkoli tato změna přímo neovlivnila koncové uživatele, vyvolává pokračující debatu o tom, zda by měl open source zůstat zcela neomezený, nebo by se měl vyvíjet, aby byla zajištěna dlouhodobá životaschopnost.

V lednu 2025 vytvořilo 10 společností DevSec včetně Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb a Orca Security konsorcium pro spuštění Opengrep. Tradičně nelítostní konkurenti nové konsorcium přímo plánuje napadnout rozhodnutí Semgrepu omezit funkčnost ve prospěch komerčního zisku. V a bloguEndor Labs uvedl, že analýza statického kódu je „příliš důležitá na to, aby se omezovala“.

Zatím však není jasné, zda Opengrep pouze přebaluje starší kód, spíše než nabízí zcela nové řešení.

Vzestup alternativ s otevřeným zdrojem 

DeepSource rozpoznal rostoucí potřebu vývojářů po nástroji, který nedědí starší omezení. „Firemní zákazníci nechtějí žonglovat s více nástroji – vytváří to výzvy v oblasti integrace a zvyšuje poptávku po řešení typu „vše v jednom,“ vysvětlil Sanket. "Statická analýza hraje klíčovou roli v pochopení architektury kódu, a proto jsme se postavili jako jednotná platforma."

Globstar od DeepSource však není sám, několik alternativ analýzy statického kódu získalo trakci po licenční kontroverzi Semgrep. Například SonarQube je platforma pro analýzu kódu, která nabízí bezplatnou komunitní edici i placené verze pro analýzu statického kódu, podporu integrace a sledování metrik. Podobně je ShellCheck další alternativou specificky používanou pro analýzu skriptů shellu a pomáhá vývojářům zachytit chyby ve skriptování, které by později mohly vést k velkým chybám nebo neefektivitě. Označuje příkazy nebo syntaxi, které nemusí být přenosné v různých prostředích shellu. Díky snadnému použití – schopnosti spouštět z příkazového řádku a snadno se integrovat do kanálů CI/CD, se ShellCheck stává stále oblíbenější volbou.

Zatímco Opengrep se snaží zachovat otevřené kořeny staršího nástroje, další alternativy jako SonarQube, Globstar a ShellCheck také nabízejí nové, progresivní řešení. Jak se rozvíjí debata o open source, vývojáři a podniky čelí zásadním rozhodnutím, které mohou předefinovat prostředí analýzy kódu.

Související témata:
mm

Victor Dey je technický redaktor a spisovatel, který se zabývá AI, krypto, datovou vědou, metaverzí a kybernetickou bezpečností v rámci podnikové sféry. Může se pochlubit půl desetiletí zkušeností s médii a umělou inteligencí ve známých médiích, jako jsou VentureBeat, Metaverse Post, Observer a další. Victor byl mentorem zakladatelů studentů v akceleračních programech na předních univerzitách, včetně University of Oxford a University of Southern California, a je držitelem magisterského titulu v oboru datové vědy a analytiky.