Connect with us

Cybersikkerhed

Åbne kilde-alternativer midt i Semgrep-licenskontrovers

mm
Published
Updated

Sikkerhedsfællesskabet oplevede et større skift i januar 2025, da rivaliserende virksomheder samledes for at lancere Opengrep—en fork af værktøjet til statisk applikationssikkerhedstest, Semgrep. Semgrep, der tidligere blev fejret for sin fællesskabsdrevne åbne kilde-ethos, antændte kontrovers, da det ændrede sin licensmodel i december 2024. Disse licensændringer begrænsede brugen af bidragne regler i kommercielle produkter og flyttede nøglefunktioner bag en betalingsmur.

Semgrep blev et essentiel værktøj for udviklere verden over på grund af sin evne til at opdage sårbarheder på tværs af multiple programmeringssprog. Men virksomhedens beslutning risikerer at kvæle innovation på et område, der er vitalt for moderne cybersikkerhed.

Midt i kontroversen lancerede DevSecOps-startuppet DeepSource Globstar, et nyt åbent kilde-værktøj til kode-sikkerhed. Bygget fra bunden og udgivet under MIT-licensen, siger Globstar, at det har til formål at give ubegrænset kommerciel og fuld offentlig adgang til sin kode.

“Gennem Globstar tilbyder vi en frisk tilgang til brugerdefineret statisk analyse, designede med sikkerhedsholdets behov i mente. Det opstod fra en intern ramme, vi havde udviklet til truseldetektion,” Sanket Saurav, co-founder og CEO af DeepSource, fortalte mig. “Semgrep er allerede i dygtige hænder, og vores mål var at tage en distinkt vej. Vi ser os selv ikke som en erstatning, men en alternativ, der bringer en ny perspektiv til rummet.”

Virksomheden har samlet en total på $7,7M i funding og bliver i øjeblikket bakket op af Y-Combinator-investorer.

Udviklet ved hjælp af Go-programmeringssproget og integreret med Tree-sitter, understøtter Globstar over 20 programmeringssprog. Værktøjet har en intuitiv YAML-grænseflade til at oprette brugerdefinerede sikkerhedskontrollere og en avanceret Go-grænseflade til kompleks, tværsfil-analyse.

“Når et projekt forkedes, tager det ofte en anden retning—but når det er begrænset til at bygge oven på et eksisterende produkt, kan innovation være begrænset,” sagde Sanket. “Vi skabte et system, der simplificerer processen med at skrive brugerdefinerede kode-kontrollere.”

Forretningsnødvendighed versus åben kilde-bevarelse

Den 13. december 2024 ændrede Semgrep sin licensmodel for at begrænse tredjepartsbrug af bidragne regler i konkurrerende kommercielle produkter uden tilladelse. Desuden omdøbte virksomheden sin åbne kilde-version til “Semgrep CE” (Community Edition). Semgrep hævder, at dens licensændringer er essentielle for at beskytte immaterielle rettigheder og sikre bæredygtig indtjening. Virksomheden påstår, at begrænsning af kommerciel brug hjælper med at afværge uautoriseret genpakning og understøtter langsigtede innovation.

“Når ingeniører skriver kode for at løse et problem, undersøger statisk analyse koden uden kørsel, og identificerer mønstre og potentielle problemer tidligt i udviklingsprocessen. Semgrep er en respekteret spiller i dette område, og jeg holder dem i høj agt,” sagde Sanket. “Men deres skift i licens til kommercielle brugere afspejler en bredere realitet: VC-bakket virksomheder må balancere åbne kilde-principper med bæredygtige forretningsmodeller.”

Han bemærker, at selv om ændringen ikke direkte påvirkede slutbrugere, rejser det en fortsat debat om, hvorvidt åben kilde skal forblive helt ubegrænset eller udvikle sig for at sikre langsigtede levedygtighed.

I januar 2025 dannede 10 DevSec-firmaer, herunder Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb og Orca Security, en konsortium for at lancere Opengrep. Traditionelt fjendtlige konkurrenter, planlægger det nye konsortium direkte at udfordre Semgreps beslutning om at begrænse funktionalitet til fordel for kommerciel gevinst. I en blogindlæg sagde Endor Labs, at statisk kodeanalyse er “for vigtig til at begrænse”.

Men det er endnu ikke klart, om Opengrep blot genpakker arvkode eller tilbyder en helt ny løsning.

Opkomsten af åbne kilde-alternativer

DeepSource erkendte et voksende behov blandt udviklere efter et værktøj, der ikke arver arvebegrænsninger. “Enterprise-kunder vil ikke jonglere med multiple værktøjer—det skaber integrationsudfordringer og driver efterspørgsel efter en alt-i-én-løsning,” forklarede Sanket. “Statiske analyse spiller en afgørende rolle i forståelse af kodearkitektur, og det er derfor, vi har positioneret os selv som en samlet platform.”

Men DeepSources Globstar er ikke alene, flere statiske kodeanalysealternativer har fået fodfæste efter Semgrep-licenskontroversen. For eksempel er SonarQube en kodeanalyseplatform, der tilbyder både en gratis Community Edition og betalte versioner til statisk kodeanalyse, integrationsstøtte og metriktracking. Ligesom ShellCheck er en anden alternativ, der specifikt bruges til at analysere shell-skripter, og hjælper udviklere med at fange skriptfejl, der senere kan føre til større fejl eller ineffektiviteter. Det markerer kommandoer eller syntaks, der måske ikke er portable på tværs af forskellige shell-miljøer. På grund af sin lette brug—evnen til at køre fra kommandolinjen og let integrere i CI/CD-pipelines—er ShellCheck blevet en stadig mere populær valg.

Mens Opengrep søger at bevare en arv-værktøjs åbne rødder, tilbyder andre alternativer som SonarQube, Globstar og ShellCheck også en frisk, fremadskuende løsning. Mens den åbne kilde-debat udvikler sig, står udviklere og virksomheder over for afgørende valg, der kan omdefinere landskabet for kodeanalyse.

Related Topics:
mm

Victor Dey er en tech-redaktør og forfatter, der dækker A.I., crypto, datavidenskab, metaverse og cybersikkerhed inden for virksomhedsområdet. Han har halv et årti af medie- og AI-erfaring fra at arbejde på velkendte mediekanaler som VentureBeat, Metaverse Post, Observer og andre. Victor har vejledt studerende grundlæggere i acceleratorprogrammer på førende universiteter, herunder University of Oxford og University of Southern California, og har en mastergrad i datavidenskab og analyse.