Connect with us

Cybersicherheit

Open-Source-Alternativen inmitten der Semgrep-Lizenzkontroverse

mm
Published
Updated

Die Sicherheitsgemeinschaft erlebte im Januar 2025 eine seismische Verschiebung, als rivalisierende Unternehmen sich zusammenschlossen, um Opengrep zu starten – eine Abspaltung des statischen Anwendungssicherheitstools Semgrep. Früher wegen seiner communitygetriebenen Open-Source-Ethik gefeiert, entfachte Semgrep eine Kontroverse, als es sein Lizenzmodell im Dezember 2024 änderte. Diese Lizenzänderungen beschränkten die Verwendung von beigetragenen Regeln in kommerziellen Produkten und verlagerten wichtige Funktionen hinter eine Paywall.

Semgrep wurde aufgrund seiner Fähigkeit, Schwachstellen in mehreren Programmiersprachen zu erkennen, zu einem unverzichtbaren Tool für Entwickler weltweit. Die Entscheidung des Unternehmens riskiert jedoch, die Innovation in einem für die moderne Cybersicherheit wichtigen Bereich zu behindern.

Inmitten der Kontroverse startete das DevSecOps-Startup DeepSource Globstar, ein neues Open-Source-Toolkit für Code-Sicherheit. Von Grund auf entwickelt und unter der MIT-Lizenz veröffentlicht, behauptet Globstar, uneingeschränkten kommerziellen und vollständigen öffentlichen Zugang zu seinem Code zu bieten.

“Mit Globstar bieten wir einen frischen Ansatz für benutzerdefinierte statische Analyse, der auf die Bedürfnisse von Sicherheitsteams zugeschnitten ist. Es entstand aus einem internen Framework, das wir für Bedrohungserkennung entwickelt hatten”, erzählte Sanket Saurav, Mitgründer und CEO von DeepSource, mir. “Semgrep ist bereits in fähigen Händen, und unser Ziel war es, einen anderen Weg zu gehen. Wir sehen uns nicht als Ersatz, sondern als Alternative, die eine neue Perspektive in den Raum bringt.”

Das Unternehmen hat insgesamt 7,7 Mio. US-Dollar an Finanzierungsmitteln aufgebracht und wird derzeit von Y-Combinator-Investoren unterstützt.

Entwickelt mit der Programmiersprache Go und integriert mit Tree-sitter, unterstützt Globstar über 20 Programmiersprachen. Das Toolkit verfügt über eine intuitive YAML-Schnittstelle für die Erstellung benutzerdefinierter Sicherheitsprüfer und eine erweiterte Go-Schnittstelle für komplexe, dateiübergreifende Analysen.

“Wenn ein Projekt aufgeforkt wird, nimmt es oft eine andere Flugbahn – aber wenn es auf dem Aufbau eines bestehenden Produkts beschränkt ist, kann die Innovation eingeschränkt sein”, sagte Sanket. “Wir haben ein System erstellt, das den Prozess des Schreibens benutzerdefinierter Code-Prüfer vereinfacht.”

Geschäftliche Notwendigkeit versus Open-Source-Erhaltung

Am 13. Dezember 2024 änderte Semgrep sein Lizenzmodell, um die Verwendung von beigetragenen Regeln in kommerziellen Produkten ohne Genehmigung zu beschränken. Darüber hinaus wurde die Open-Source-Version des Unternehmens in “Semgrep CE” (Community Edition) umbenannt. Semgrep behauptet, dass seine Lizenzänderungen notwendig sind, um geistiges Eigentum zu schützen und nachhaltige Einnahmen zu gewährleisten. Das Unternehmen argumentiert, dass die Beschränkung der kommerziellen Nutzung dazu beiträgt, nicht autorisierte Neuvorverpackung zu verhindern und langfristige Innovation zu unterstützen.

“Wenn Ingenieure Code schreiben, um ein Problem zu lösen, untersucht die statische Analyse den Code ohne Ausführung und identifiziert Muster und potenzielle Probleme früh im Entwicklungsprozess. Semgrep ist ein respektierter Spieler in diesem Bereich, und ich halte sie in hohem Ansehen”, sagte Sanket. “Allerdings spiegelt ihre Lizenzänderung für kommerzielle Nutzer eine breitere Realität wider: VC-gestützte Unternehmen müssen Open-Source-Prinzipien mit nachhaltigen Geschäftsmodellen in Einklang bringen.”

Er bemerkt, dass die Änderung zwar nicht direkt die Endnutzer beeinflusste, aber eine anhaltende Debatte über die Frage aufwirft, ob Open Source völlig unbeschränkt bleiben oder sich zu Gunsten der langfristigen Tragfähigkeit entwickeln sollte.

Im Januar 2025 gründeten 10 DevSec-Unternehmen, darunter Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb und Orca Security, ein Konsortium, um Opengrep zu starten. Traditionell erbitterte Wettbewerber plant das neue Konsortium, Semgrep direkt wegen seiner Entscheidung, Funktionalitäten zugunsten kommerzieller Gewinne zu beschränken, herauszufordern. In einem Blogbeitrag erklärte Endor Labs, dass die statische Code-Analyse “zu wichtig ist, um sie zu beschränken”.

Es ist jedoch noch nicht klar, ob Opengrep lediglich Legacy-Code neu verpackt oder eine völlig neue Lösung bietet.

Der Aufstieg von Open-Source-Alternativen

DeepSource erkannte einen wachsenden Bedarf unter Entwicklern nach einem Tool, das nicht die Einschränkungen von Legacy-Code erbt. “Unternehmenskunden möchten nicht mit mehreren Tools jonglieren – es schafft Integrationsherausforderungen und treibt die Nachfrage nach einer umfassenden Lösung an”, erklärte Sanket. “Die statische Analyse spielt eine entscheidende Rolle bei der Verständigung der Code-Architektur, und deshalb haben wir uns als einheitliche Plattform positioniert.”

DeepSource’s Globstar ist jedoch nicht allein, mehrere statische Code-Analyse-Alternativen haben nach der Semgrep-Lizenzkontroverse an Fahrt gewonnen. Zum Beispiel ist SonarQube eine Code-Analyse-Plattform, die sowohl eine kostenlose Community-Edition als auch kostenpflichtige Versionen für die statische Code-Analyse, Integration und Metrik-Verfolgung bietet. Ebenso ist ShellCheck eine weitere Alternative, die speziell für die Analyse von Shell-Skripten verwendet wird und Entwicklern hilft, Skriptfehler zu erkennen, die später zu größeren Fehlern oder Ineffizienzen führen könnten. Es markiert Befehle oder Syntax, die möglicherweise nicht in verschiedenen Shell-Umgebungen portabel sind. Aufgrund seiner Benutzerfreundlichkeit – Fähigkeit, von der Kommandozeile aus zu laufen und sich leicht in CI/CD-Pipelines zu integrieren – ist ShellCheck eine immer beliebter werdende Wahl.

Während Opengrep versucht, die offenen Wurzeln eines Legacy-Tools zu bewahren, bieten andere Alternativen wie SonarQube, Globstar und ShellCheck auch eine frische, zukunftsorientierte Lösung. Wenn die Open-Source-Debatte sich entfaltet, stehen Entwickler und Unternehmen vor wichtigen Entscheidungen, die das Landschaftsbild der Code-Analyse neu definieren könnten.

Related Topics:
mm

Victor Dey ist ein Tech-Redakteur und -Autor, der über K.I., Krypto, Data Science, Metaverse und Cybersicherheit im Unternehmensbereich berichtet. Er verfügt über ein halbes Jahrzehnt Erfahrung in den Medien und im Bereich K.I. und hat bei bekannten Medien wie VentureBeat, Metaverse Post, Observer und anderen gearbeitet. Victor hat Studenten-Gründer in Beschleunigungsprogrammen an führenden Universitäten wie der University of Oxford und der University of Southern California betreut und hält einen Master-Abschluss in Data Science und Analytics.