Connect with us

Ciberseguridad

Alternativas de Código Abierto en Medio de la Controversia de Licencia de Semgrep

mm
Published
Updated

La comunidad de seguridad presenció un cambio sísmico en enero de 2025, cuando empresas rivales se unieron para lanzar Opengrep —un fork de la herramienta de prueba de seguridad de aplicaciones estáticas, Semgrep. Una vez celebrada por su ética de código abierto impulsada por la comunidad, Semgrep encendió la controversia cuando alteró su modelo de licencia en diciembre de 2024. Estos cambios en la licencia restringieron el uso de reglas contribuidas en productos comerciales y trasladaron características clave detrás de un pago.

Semgrep se convirtió en una herramienta esencial para los desarrolladores de todo el mundo debido a su capacidad para detectar vulnerabilidades en múltiples lenguajes de programación. Sin embargo, la decisión de la empresa riesga sofocar la innovación en un área vital para la ciberseguridad moderna.

En medio de la controversia, la startup DevSecOps DeepSource lanzó Globstar, una nueva herramienta de código abierto para la seguridad del código. Construida desde cero y lanzada bajo la licencia MIT, Globstar afirma que tiene como objetivo proporcionar acceso comercial y público completo sin restricciones a su código.

“A través de Globstar, estamos ofreciendo un enfoque fresco para el análisis estático personalizado, diseñado con las necesidades de los equipos de seguridad en mente. Surgió de un marco interno que habíamos desarrollado para la detección de amenazas”, Sanket Saurav, cofundador y CEO de DeepSource, me dijo. “Semgrep ya está en manos capaces, y nuestro objetivo era tomar un camino distinto. Nos vemos a nosotros mismos no como un reemplazo, sino como una alternativa que aporta una nueva perspectiva al espacio”.

La empresa ha recaudado un total de $7.7M en financiamiento y actualmente está respaldada por inversores de Y-Combinator.

Desarrollada utilizando el lenguaje de programación Go y integrada con Tree-sitter, Globstar admite más de 20 lenguajes de programación. La herramienta cuenta con una interfaz YAML intuitiva para crear verificadores de seguridad personalizados y una interfaz avanzada de Go para análisis complejos y entre archivos.

“Cuando un proyecto es bifurcado, a menudo toma una trayectoria diferente —pero cuando se ve limitado a construir sobre un producto existente, la innovación puede ser limitada”, dijo Sanket. “Creamos un sistema que simplifica el proceso de escribir verificadores de código personalizados”.

Necesidad Comercial versus Preservación de Código Abierto

El 13 de diciembre de 2024, Semgrep revisó su modelo de licencia para restringir el uso de terceros de reglas contribuidas en productos comerciales competidores sin autorización. Además, la empresa rebautizó su versión de código abierto como “Semgrep CE” (Edición de la Comunidad). Semgrep afirma que sus cambios en la licencia son esenciales para proteger la propiedad intelectual y garantizar ingresos sostenibles. La empresa sostiene que restringir el uso comercial ayuda a frenar el reempaquetado no autorizado y apoya la innovación a largo plazo.

“Cuando los ingenieros escriben código para resolver un problema, el análisis estático examina el código sin ejecución, identificando patrones y posibles problemas al comienzo del proceso de desarrollo. Semgrep es un jugador respetado en este espacio, y lo tengo en alta estima”, dijo Sanket. “Sin embargo, su cambio en la licencia para usuarios comerciales refleja una realidad más amplia: las empresas respaldadas por VC deben equilibrar los principios de código abierto con modelos de negocio sostenibles”.

Señala que, si bien el cambio no afectó directamente a los usuarios finales, plantea un debate en curso sobre si el código abierto debe permanecer completamente sin restricciones o evolucionar para garantizar la viabilidad a largo plazo.

En enero de 2025, 10 empresas de DevSec, incluidas Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb y Orca Security, formaron un consorcio para lanzar Opengrep. Tradicionalmente competidores feroces, el nuevo consorcio planea desafiar directamente la decisión de Semgrep de limitar la funcionalidad en favor del beneficio comercial. En una publicación del blog, Endor Labs declaró que el análisis de código estático es “demasiado importante para restringir”.

Sin embargo, todavía no está claro si Opengrep simplemente reempaca el código heredado en lugar de ofrecer una solución completamente nueva.

El Auge de las Alternativas de Código Abierto

DeepSource reconoció una creciente necesidad entre los desarrolladores de una herramienta que no herede las limitaciones heredadas. “Los clientes empresariales no quieren manejar múltiples herramientas —crea desafíos de integración y genera demanda de una solución todo en uno”, explicó Sanket. “El análisis estático juega un papel crucial en la comprensión de la arquitectura del código, por lo que nos hemos posicionado como una plataforma unificada”.

Sin embargo, Globstar de DeepSource no está solo, varias alternativas de análisis de código estático han ganado tracción después de la controversia de la licencia de Semgrep. Por ejemplo, SonarQube es una plataforma de análisis de código que ofrece tanto una Edición Comunitaria gratuita como versiones de pago, para análisis de código estático, soporte de integración y seguimiento de métricas. De manera similar, ShellCheck es otra alternativa utilizada específicamente para analizar scripts de shell, y ayuda a los desarrolladores a detectar errores de scripting que podrían generar errores o ineficiencias importantes más adelante. Marca comandos o sintaxis que pueden no ser portátiles en diferentes entornos de shell. Debido a su facilidad de uso —capacidad de ejecutarse desde la línea de comandos y integrarse fácilmente en las tuberías de CI/CD—, ShellCheck se ha convertido en una opción cada vez más popular.

Mientras Opengrep busca preservar las raíces abiertas de una herramienta heredada, otras alternativas como SonarQube, Globstar y ShellCheck también ofrecen una solución fresca y con visión de futuro. A medida que se desarrolla el debate sobre el código abierto, los desarrolladores y las empresas enfrentan elecciones cruciales que pueden redefinir el panorama del análisis de código.

Related Topics:
mm

Victor Dey es un editor y escritor de tecnología que cubre A.I., crypto, data science, metaverse y ciberseguridad dentro del ámbito empresarial. Cuenta con medio decenio de experiencia en medios y A.I. trabajando en medios de comunicación conocidos como VentureBeat, Metaverse Post, Observer y otros. Victor ha sido mentor de estudiantes emprendedores en programas de aceleración en universidades líderes como la Universidad de Oxford y la Universidad del Sur de California, y tiene un título de Maestría en ciencia y análisis de datos.