Contáctenos

Alternativas de código abierto en medio de la controversia sobre las licencias de Semgrep

Ciberseguridad

Alternativas de código abierto en medio de la controversia sobre las licencias de Semgrep

mm
Publicado

La comunidad de seguridad fue testigo de un cambio radical en enero de 2025, cuando empresas rivales se unieron para lanzar Opengrep—una bifurcación de Semgrep, la herramienta de pruebas de seguridad de aplicaciones estáticas. Antiguamente famosa por su filosofía de código abierto impulsada por la comunidad, Semgrep generó controversia cuando modificó su modelo de licencias en diciembre de 2024. Estos cambios de licencia restringieron el uso de reglas aportadas en productos comerciales y trasladaron características clave detrás de un muro de pago.

Semgrep se convirtió en una herramienta esencial para desarrolladores de todo el mundo gracias a su capacidad para detectar vulnerabilidades en múltiples lenguajes de programación. Sin embargo, la decisión de la compañía corre el riesgo de frenar la innovación en un área vital para la ciberseguridad moderna.

En medio de la controversia, la startup DevSecOps DeepSource lanzó estrella globalGlobstar, un nuevo conjunto de herramientas de código abierto para la seguridad del código. Desarrollado desde cero y publicado bajo la licencia MIT, busca proporcionar acceso comercial sin restricciones y acceso público completo a su código.

A través de Globstar, ofrecemos un enfoque innovador para el análisis estático personalizado, diseñado teniendo en cuenta las necesidades de los equipos de seguridad. Surgió de un marco interno que desarrollamos para la detección de amenazas. Sanket Saurav, Co-fundador y CEO de fuente profundaMe dijo: «Semgrep ya está en buenas manos, y nuestro objetivo era tomar un camino distinto. No nos vemos como un sustituto, sino como una alternativa que aporta una nueva perspectiva al sector».

La empresa ha recaudado un total de 7.7 millones de dólares en financiación y actualmente cuenta con el respaldo de los inversores de Y-Combinator.

Desarrollado con el lenguaje de programación Go e integrado con Tree-sitter, Globstar es compatible con más de 20 lenguajes de programación. El kit de herramientas incluye una interfaz YAML intuitiva para crear comprobadores de seguridad personalizados y una interfaz Go avanzada para análisis complejos de archivos cruzados.

“Cuando un proyecto se bifurca, suele tomar una trayectoria diferente, pero al limitarse a desarrollar sobre un producto existente, la innovación puede verse limitada”, afirmó Sanket. “Creamos un sistema que simplifica el proceso de creación de verificadores de código personalizados”.

Necesidad empresarial versus preservación del código abierto

El 13 de diciembre de 2024, Semgrep renovó su modelo de licencias para restringir el uso por parte de terceros de las reglas aportadas en productos comerciales de la competencia sin autorización. Además, la empresa renombró su versión de código abierto a "Semgrep CE" (Edición Comunitaria). Semgrep afirma que sus cambios en las licencias son esenciales para proteger la propiedad intelectual y garantizar ingresos sostenibles. La empresa sostiene que restringir el uso comercial ayuda a frenar el reempaquetado no autorizado y apoya la innovación a largo plazo.

“Cuando los ingenieros escriben código para resolver un problema, el análisis estático examina el código sin ejecutarlo, identificando patrones y posibles problemas en las primeras etapas del proceso de desarrollo. Semgrep es una empresa respetada en este sector, y la tengo en alta estima”, afirmó Sanket. “Sin embargo, su cambio en las licencias para usuarios comerciales refleja una realidad más amplia: las empresas con capital de riesgo deben encontrar un equilibrio entre los principios del código abierto y modelos de negocio sostenibles”.

Señala que si bien el cambio no afectó directamente a los usuarios finales, plantea un debate en curso sobre si el código abierto debe permanecer totalmente sin restricciones o evolucionar para garantizar la viabilidad a largo plazo.

En enero de 2025, 10 empresas de DevSec, entre ellas Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb y Orca Security, formaron un consorcio para lanzar Opengrep. Tradicionalmente competidores feroces, el nuevo consorcio planea desafiar directamente la decisión de Semgrep de limitar la funcionalidad para obtener beneficios comerciales. En un entrada del blogEndor Labs afirmó que el análisis de código estático es “demasiado importante para restringirlo”.

Sin embargo, aún no está claro si Opengrep simplemente reempaqueta el código heredado en lugar de ofrecer una solución completamente nueva.

El auge de las alternativas de código abierto 

DeepSource reconoció la creciente necesidad entre los desarrolladores de una herramienta que no herede las limitaciones heredadas. "Los clientes empresariales no quieren tener que lidiar con múltiples herramientas; esto crea desafíos de integración e impulsa la demanda de una solución integral", explicó Sanket. "El análisis estático desempeña un papel crucial para comprender la arquitectura del código, por lo que nos hemos posicionado como una plataforma unificada".

Sin embargo, Globstar de DeepSource no es el único; varias alternativas de análisis de código estático han cobrado impulso tras la controversia sobre la licencia de Semgrep. Por ejemplo, SonarQube es una plataforma de análisis de código que ofrece una Community Edition gratuita y versiones de pago para análisis de código estático, compatibilidad con integraciones y seguimiento de métricas. Asimismo, ShellCheck es otra alternativa específica para analizar scripts de shell y ayuda a los desarrolladores a detectar errores de scripting que posteriormente podrían generar errores o ineficiencias importantes. Identifica comandos o sintaxis que podrían no ser compatibles con diferentes entornos de shell. Gracias a su facilidad de uso (ejecución desde la línea de comandos e integración sencilla en pipelines de CI/CD), ShellCheck se ha convertido en una opción cada vez más popular.

Si bien Opengrep busca preservar las raíces abiertas de una herramienta heredada, otras alternativas como SonarQube, Globstar y ShellCheck también ofrecen una solución innovadora y vanguardista. A medida que se desarrolla el debate sobre el código abierto, desarrolladores y empresas se enfrentan a decisiones cruciales que podrían redefinir el panorama del análisis de código.

Temas relacionados:
mm

Victor Dey es un editor y escritor de tecnología que cubre temas de inteligencia artificial, criptografía, ciencia de datos, metaverso y ciberseguridad en el ámbito empresarial. Cuenta con media década de experiencia en medios e inteligencia artificial trabajando en medios de comunicación reconocidos como VentureBeat, Metaverse Post, Observer y otros. Victor ha sido mentor de fundadores de estudiantes en programas de aceleración en universidades líderes, como la Universidad de Oxford y la Universidad del Sur de California, y tiene una maestría en ciencia de datos y análisis.