Connect with us

Kybernetická bezpečnost

Otevřené alternativy uprostřed kontroverze kolem licencování Semgrep

mm
Published
Updated

Bezpečnostní komunita zažila v lednu 2025 seizmický posun, když rivalové společnosti spojily své síly, aby spustily Opengrep – fork statického nástroje pro testování aplikací, Semgrep. Semgrep, který byl dříve oslavován pro svou komunitou vedenou otevřenou filozofii, vyvolal kontroverzi, když změnil svůj licenční model v prosinci 2024. Tyto změny licencování omezily použití přispěných pravidel v komerčních produktech a přesunuly klíčové funkce za placenou zeď.

Semgrep se stal nezbytným nástrojem pro vývojáře po celém světě díky své schopnosti detekovat zranitelnosti napříč několika programovacími jazyky. Nicméně, rozhodnutí společnosti riskuje potlačení inovace v oblasti, která je vitální pro moderní kybernetickou bezpečnost.

Uprostřed kontroverze, startup DevSecOps DeepSource spustil Globstar, nový otevřený nástroj pro zabezpečení kódu. Postavený od základu a vydán pod licencí MIT, Globstar prohlašuje, že nabízí neomezený komerční a plný veřejný přístup ke svému kódu.

“Prostřednictvím Globstaru nabízíme nový přístup k vlastním statickým analýzám, navrženým s ohledem na potřeby bezpečnostních týmů. Vznikl z interního rámce, který jsme vyvinuli pro detekci hrozeb,” řekl Sanket Saurav, spoluzakladatel a CEO DeepSource, mi. “Semgrep je již v kompetentních rukou a naše cílem bylo jít odlišnou cestou. Nevidíme se jako náhradu, ale jako alternativu, která přináší nový pohled do prostoru.”

Společnost získala celkem 7,7 milionů dolarů ve financování a v současné době je podporována investory Y-Combinator.

Vyvinutý pomocí programovacího jazyka Go a integrovaný s Tree-sitter, Globstar podporuje více než 20 programovacích jazyků. Nástroj nabízí intuitivní YAML rozhraní pro vytváření vlastních bezpečnostních kontrolérů a pokročilé Go rozhraní pro komplexní, mezi-souborovou analýzu.

“Když je projekt forkován, často jde jinou cestou – ale když je omezen na stavbu na základě existujícího produktu, inovace může být omezena,” řekl Sanket. “Vytvořili jsme systém, který zjednodušuje proces psaní vlastních kontrolérů kódu.”

Obchodní nutnost versus zachování otevřeného zdroje

Dne 13. prosince 2024 Semgrep přepracoval svůj licenční model, aby omezil použití přispěných pravidel ze strany třetích stran v komerčních produktech bez autorizace. Kromě toho společnost přejmenovala svou otevřenou verzi na “Semgrep CE” (Community Edition). Semgrep prohlašuje, že jeho změny licencování jsou nezbytné pro ochranu duševního vlastnictví a zajištění udržitelných příjmů. Společnost tvrdí, že omezení komerčního použití pomáhá potlačit neoprávněné přebalování a podporuje dlouhodobou inovaci.

“Když inženýři píší kód pro řešení problému, statická analýza zkoumá kód bez provedení, identifikuje vzory a potenciální problémy brzy ve fázi vývoje. Semgrep je respektovaným hráčem v tomto prostoru a mám je v vysoké úctě,” řekl Sanket. “Nicméně, jejich posun v licencování pro komerční uživatele odráží širší realitu: společnosti financované venture capital musí vyvážit otevřené zdroje se udržitelnými obchodními modely.”

Poznamenává, že zatímco změna neměla přímý dopad na koncové uživatele, vyvolává pokračující debatu o tom, zda by otevřený zdroj měl zůstat zcela neomezený nebo se vyvinout, aby zajistil dlouhodobou životaschopnost.

V lednu 2025, 10 firem DevSec, včetně Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb a Orca Security, vytvořilo konsorcium, aby spustilo Opengrep. Tradičně rivalové, nové konsorcium přímo plánuje zpochybnit rozhodnutí Semgrep omezit funkčnost ve prospěch komerčního zisku. V blogovém příspěvku, Endor Labs uvedl, že statická kódová analýza je “příliš důležitá, aby byla omezena”.

Nicméně, zatím není jasné, zda Opengrep pouze přebaluje zastaralý kód, nebo nabízí zcela nové řešení.

Vzestup otevřených alternativ

DeepSource rozpoznal rostoucí potřebu mezi vývojáři pro nástroj, který nezdědí zastaralá omezení. “Firemní zákazníci nechtějí házet s několika nástroji – vytváří to integrační výzvy a pohání poptávku po komplexním řešení,” vysvětlil Sanket. “Statická analýza hraje zásadní roli při pochopení architektury kódu, a proto jsme se umístili jako sjednocená platforma.”

Nicméně, Globstar od DeepSource není sám, několik alternativ statické kódové analýzy získalo trakci po kontroverzi kolem licencování Semgrep. Například SonarQube je platforma pro analýzu kódu, která nabízí jak bezplatnou Community Edition, tak placené verze, pro statickou kódovou analýzu, podporu integrace a sledování metrik. Podobně je ShellCheck další alternativou, která se používá speciálně pro analýzu shell skriptů a pomáhá vývojářům chytit skriptovací chyby, které by později mohly vést k velkým chybám nebo neefektivitám. Označuje příkazy nebo syntaxi, které nemusí být přenositelné napříč různými shellovými prostředími. Díky své snadné použitelnosti – schopnosti spustit z příkazového řádku a snadno integrovat do CI/CD pipeline, ShellCheck se stal stále populárnější volbou.

Zatímco Opengrep usiluje o zachování otevřených kořenů legacy nástroje, další alternativy, jako SonarQube, Globstar a ShellCheck, nabízejí fresh, progresivní řešení. Jak se debata o otevřeném zdroji vyvíjí, vývojáři a firmy čelí zásadním rozhodnutím, která mohou předefinovat krajinu kódové analýzy.

Related Topics:
mm

Victor Dey je technický editor a spisovatel, který se zabývá umělou inteligencí, kryptoměnou, datové vědou, metaverzem a kybernetickou bezpečností v podnikovém prostředí. Má půl desetiletí zkušeností v médiích a umělých inteligencích, pracoval pro známá média, jako je VentureBeat, Metaverse Post, Observer a další. Victor působil jako mentor studentům-zakladatelům v akceleračních programech na předních univerzitách, včetně Oxfordské univerzity a Jižní Kalifornské univerzity, a má magisterský titul v oblasti datové vědy a analýzy.