Συνδεθείτε μαζί μας

Εναλλακτικές λύσεις ανοιχτού κώδικα εν μέσω διαμάχης σχετικά με την αδειοδότηση της Semgrep

Κυβερνασφάλεια

Εναλλακτικές λύσεις ανοιχτού κώδικα εν μέσω διαμάχης σχετικά με την αδειοδότηση της Semgrep

mm
Δημοσιευμένα

Η κοινότητα ασφαλείας γνώρισε μια σεισμική μετατόπιση τον Ιανουάριο του 2025, καθώς οι αντίπαλες εταιρείες ενώθηκαν για να ξεκινήσουν Opengrep—ένα πιρούνι του στατικού εργαλείου δοκιμών ασφάλειας εφαρμογών, Semgrep. Κάποτε γιορταζόταν για το ήθος ανοιχτού κώδικα που βασίζεται στην κοινότητα, Semgrep πυροδότησε διαμάχη όταν άλλαξε το μοντέλο αδειοδότησης τον Δεκέμβριο του 2024. Αυτές οι αλλαγές αδειοδότησης περιόρισαν τη χρήση των συνεισφερόμενων κανόνων σε εμπορικά προϊόντα και άλλαξαν βασικά χαρακτηριστικά πίσω από ένα paywall.

Το Semgrep έγινε ένα απαραίτητο εργαλείο για προγραμματιστές παγκοσμίως λόγω της ικανότητάς του να εντοπίζει τρωτά σημεία σε πολλές γλώσσες προγραμματισμού. Ωστόσο, η απόφαση της εταιρείας κινδυνεύει να καταπνίξει την καινοτομία σε έναν τομέα ζωτικής σημασίας για τη σύγχρονη ασφάλεια στον κυβερνοχώρο.

Εν μέσω της διαμάχης, ξεκίνησε η εκκίνηση του DevSecOps DeepSource Globstar, μια νέα εργαλειοθήκη ανοιχτού κώδικα για την ασφάλεια κώδικα. Κατασκευασμένο από την αρχή και κυκλοφορήσει υπό την άδεια του MIT, η Globstar λέει ότι στοχεύει να παρέχει απεριόριστη εμπορική και πλήρη δημόσια πρόσβαση στον κώδικά της.

"Μέσω του Globstar, προσφέρουμε μια νέα προσέγγιση στην προσαρμοσμένη στατική ανάλυση, σχεδιασμένη με γνώμονα τις ανάγκες των ομάδων ασφαλείας. Προέκυψε από ένα εσωτερικό πλαίσιο που είχαμε αναπτύξει για την ανίχνευση απειλών." Sanket Saurav, συνιδρυτής και διευθύνων σύμβουλος της εταιρείας DeepSource, μου είπε. "Η Semgrep βρίσκεται ήδη σε ικανά χέρια και ο στόχος μας ήταν να ακολουθήσουμε έναν ξεχωριστό δρόμο. Δεν βλέπουμε τον εαυτό μας ως αντικαταστάτη, αλλά ως εναλλακτική που φέρνει μια νέα προοπτική στο χώρο."

Η εταιρεία έχει συγκεντρώσει συνολικά 7.7 εκατομμύρια δολάρια σε χρηματοδότηση και αυτή τη στιγμή υποστηρίζεται από επενδυτές της Y-Combinator.

Αναπτύχθηκε χρησιμοποιώντας τη γλώσσα προγραμματισμού Go και ενσωματώθηκε με το Tree-sitter, το Globstar υποστηρίζει περισσότερες από 20 γλώσσες προγραμματισμού. Η εργαλειοθήκη διαθέτει μια διαισθητική διεπαφή YAML για τη δημιουργία προσαρμοσμένων ελεγκτών ασφαλείας και μια προηγμένη διεπαφή Go για σύνθετη ανάλυση μεταξύ αρχείων.

«Όταν ένα έργο διαχωρίζεται, συχνά παίρνει διαφορετική τροχιά — αλλά όταν περιορίζεται να χτίσει πάνω από ένα υπάρχον προϊόν, η καινοτομία μπορεί να περιοριστεί», είπε ο Sanket. "Δημιουργήσαμε ένα σύστημα που απλοποιεί τη διαδικασία σύνταξης προσαρμοσμένων ελεγκτών κώδικα."

Επιχειρηματική αναγκαιότητα έναντι διατήρησης ανοιχτού κώδικα

Στις 13 Δεκεμβρίου 2024, η Semgrep ανανέωσε το μοντέλο αδειοδότησης για να περιορίσει τη χρήση τρίτων κανόνων που συνεισφέρουν σε ανταγωνιστικά εμπορικά προϊόντα χωρίς εξουσιοδότηση. Επιπλέον, η εταιρεία μετονόμασε την έκδοση ανοιχτού κώδικα σε "Semgrep CE" (Community Edition). Η Semgrep ισχυρίζεται ότι οι αλλαγές στις άδειες είναι απαραίτητες για την προστασία της πνευματικής ιδιοκτησίας και τη διασφάλιση βιώσιμων εσόδων. Η εταιρεία υποστηρίζει ότι ο περιορισμός της εμπορικής χρήσης συμβάλλει στον περιορισμό της μη εξουσιοδοτημένης επανασυσκευασίας και υποστηρίζει τη μακροπρόθεσμη καινοτομία.

"Όταν οι μηχανικοί γράφουν κώδικα για να λύσουν ένα πρόβλημα, η στατική ανάλυση εξετάζει τον κώδικα χωρίς εκτέλεση, εντοπίζοντας μοτίβα και πιθανά ζητήματα νωρίς στη διαδικασία ανάπτυξης. Η Semgrep είναι ένας σεβαστός παίκτης σε αυτόν τον χώρο και τους εκτιμώ πολύ", δήλωσε ο Sanket. «Ωστόσο, η στροφή τους στην αδειοδότηση για εμπορικούς χρήστες αντικατοπτρίζει μια ευρύτερη πραγματικότητα: οι εταιρείες που υποστηρίζονται από VC πρέπει να εξισορροπούν τις αρχές ανοιχτού κώδικα με βιώσιμα επιχειρηματικά μοντέλα».

Σημειώνει ότι ενώ η αλλαγή δεν επηρέασε άμεσα τους τελικούς χρήστες, εγείρει μια συνεχιζόμενη συζήτηση σχετικά με το εάν ο ανοιχτός κώδικας πρέπει να παραμείνει εντελώς απεριόριστος ή να εξελιχθεί για να διασφαλίσει τη μακροπρόθεσμη βιωσιμότητα.

Τον Ιανουάριο του 2025, 10 εταιρείες DevSec, συμπεριλαμβανομένων των Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb και Orca Security—σχημάτισαν μια κοινοπραξία για την κυκλοφορία του Opengrep. Παραδοσιακά σκληροί ανταγωνιστές, η νέα κοινοπραξία σχεδιάζει άμεσα να αμφισβητήσει την απόφαση της Semgrep να περιορίσει τη λειτουργικότητα προς όφελος του εμπορικού κέρδους. Σε ένα ανάρτηση, η Endor Labs δήλωσε ότι η ανάλυση στατικού κώδικα είναι «πολύ σημαντική για περιορισμό».

Ωστόσο, δεν είναι ακόμη σαφές εάν το Opengrep απλώς ανασυσκευάζει παλαιότερο κώδικα αντί να προσφέρει μια εντελώς νέα λύση.

The Rise of Open-Source Alternatives 

Η DeepSource αναγνώρισε μια αυξανόμενη ανάγκη μεταξύ των προγραμματιστών για ένα εργαλείο που δεν κληρονομεί περιορισμούς παλαιού τύπου. «Οι εταιρικοί πελάτες δεν θέλουν να χρησιμοποιούν πολλαπλά εργαλεία—δημιουργεί προκλήσεις ολοκλήρωσης και αυξάνει τη ζήτηση για μια λύση all-in-one», εξήγησε η Sanket. "Η στατική ανάλυση διαδραματίζει κρίσιμο ρόλο στην κατανόηση της αρχιτεκτονικής κώδικα, γι' αυτό και έχουμε τοποθετηθεί ως μια ενοποιημένη πλατφόρμα."

Ωστόσο, το Globstar της DeepSource δεν είναι μόνο, πολλές εναλλακτικές λύσεις στατικής ανάλυσης κώδικα έχουν κερδίσει την έλξη μετά τη διαμάχη για την αδειοδότηση της Semgrep. Για παράδειγμα, το SonarQube είναι μια πλατφόρμα ανάλυσης κώδικα που προσφέρει δωρεάν έκδοση Κοινότητας και εκδόσεις επί πληρωμή, για ανάλυση στατικού κώδικα, υποστήριξη ενοποίησης και παρακολούθηση μετρήσεων. Ομοίως, το ShellCheck είναι μια άλλη εναλλακτική λύση που χρησιμοποιείται ειδικά για την ανάλυση σεναρίων κελύφους και βοηθά τους προγραμματιστές να εντοπίσουν σφάλματα δέσμης ενεργειών που αργότερα θα μπορούσαν να οδηγήσουν σε μεγάλα σφάλματα ή αναποτελεσματικότητα. Επισημαίνει εντολές ή σύνταξη που ενδέχεται να μην είναι φορητές σε διαφορετικά περιβάλλοντα φλοιού. Λόγω της ευκολίας χρήσης του—την ικανότητά του να εκτελείται από τη γραμμή εντολών και να ενσωματώνεται εύκολα σε αγωγούς CI/CD, το ShellCheck έχει γίνει μια ολοένα και πιο δημοφιλής επιλογή.

Ενώ το Opengrep επιδιώκει να διατηρήσει τις ανοιχτές ρίζες ενός εργαλείου παλαιού τύπου, άλλες εναλλακτικές λύσεις όπως το SonarQube, το Globstar και το ShellCheck προσφέρουν επίσης μια νέα, προνοητική λύση. Καθώς η συζήτηση για τον ανοιχτό κώδικα ξετυλίγεται, οι προγραμματιστές και οι επιχειρήσεις αντιμετωπίζουν κρίσιμες επιλογές που μπορεί να επαναπροσδιορίσουν το τοπίο της ανάλυσης κώδικα.

Σχετικά θέματα:
mm

Ο Victor Dey είναι ένας τεχνολογικός συντάκτης και συγγραφέας που καλύπτει την τεχνητή νοημοσύνη, τα κρυπτονομίσματα, την επιστήμη των δεδομένων, τη μετασύνδεση και την ασφάλεια στον κυβερνοχώρο στον επιχειρηματικό τομέα. Διαθέτει μισή δεκαετία εμπειρίας μέσων και τεχνητής νοημοσύνης, εργαζόμενος σε γνωστά μέσα ενημέρωσης όπως το VentureBeat, το Metaverse Post, το Observer και άλλα. Ο Victor έχει καθοδηγήσει ιδρυτές φοιτητών σε προγράμματα επιτάχυνσης σε κορυφαία πανεπιστήμια, όπως το Πανεπιστήμιο της Οξφόρδης και το Πανεπιστήμιο της Νότιας Καλιφόρνια, και είναι κάτοχος μεταπτυχιακού τίτλου στην επιστήμη δεδομένων και την ανάλυση.