Avoimen lähdekoodin vaihtoehdot Semgrep:n lisenssikiistan keskellä

Turvallisuusyhteisö koki merkittävän muutoksen tammikuussa 2025, kun kilpailevat yritykset yhdistyivät Opengrepin käynnistämiseksi – staattisen sovellusturva-analyysityökalun, Semgrep:n forkkaus. Aikaisemmin yhteisölähtöisen avoimen lähdekoodin etoksen ansiosta juhlistettu Semgrep sytytti kiistan, kun se muutti lisenssimalliaan joulukuussa 2024. Nämä lisenssimuutokset rajoittivat kaupallisen käytön osallistujien sääntöjä ja siirsivät avainominaisuudet maksullisen palomuuri taakse.

Semgrepista tuli olennainen työkalu kehittäjille ympäri maailmaa sen kyvyn vuoksi havaita haavoittuvuuksia useiden ohjelmointikielten yli. Yrityksen päätös kuitenkin uhkaa tukahduttaa innovaatiota alalla, joka on välttämätön modernille kyberTurvallisuudelle.

Kiistan keskellä DevSecOps-yritys DeepSource julkaisi Globstarin, uuden avoimen lähdekoodin työkalupakin kooditurvallisuuteen. Rakennettu alusta ja julkaistu MIT-lisenssillä, Globstar sanoo tarjoavansa rajoittamattoman kaupallisen ja täydellisen julkisen pääsyn koodiinsa.

“Globstarin kautta tarjoamme tuoreen lähestymistavan mukautettuun staattiseen analyysiin, joka on suunniteltu turvallisuustiimien tarpeisiin. Se syntyi sisäisestä kehyksestä, jonka olimme kehittäneet uhka-analyysiin”, Sanket Saurav, DeepSourcen perustaja ja toimitusjohtaja, kertoi minulle. ”Semgrep on jo kyvykkäiden käsiissä, ja tavoitteemme oli ottaa erilainen polku. Emme näe itseämme korvaajana, vaan vaihtoehtona, joka tuo uuden näkökulman alalle.”

Yritys on kerännyt yhteensä 7,7 miljoonaa dollaria rahoitusta ja on tällä hetkellä Y-Combinator-rahaston sijoittajien tukemana.

Kehitetty käyttäen Go-ohjelmointikieltä ja integroitu Tree-sitterin kanssa, Globstar tukee yli 20 ohjelmointikieltä. Työkalussa on helppokäyttöinen YAML-liittymä mukautettujen turvallisuustarkastajien luomiseksi ja edistynyt Go-liittymä monimutkaisiin, tiedostojen välisiin analyyseihin.

”Kun projekti on forkattu, se usein ottaa toisen suunnan – mutta kun se on rajoitettu rakentamaan olemassa olevan tuotteen päälle, innovaatio voi olla rajoitettua”, Sanket sanoi. ”Luoimme järjestelmän, joka yksinkertaistaa mukautettujen koodin tarkastajien kirjoittamisen prosessia.”

Liiketoiminnan välttämättömyys vs. avoimen lähdekoodin säilyttäminen

Joulukuun 13. päivänä 2024 Semgrep uudisti lisenssimalliaan rajoittaakseen kolmansien osapuolien käyttöä osallistujien sääntöjä kilpailevissa kaupallisissa tuotteissa ilman lupaa. Lisäksi yritys uudelleennimesi avoimen lähdekoodin version “Semgrep CE”:ksi (Community Edition). Semgrep väittää, että sen lisenssimuutokset ovat välttämättömiä älyomaisuuden suojelemiseksi ja kestävän tulon varmistamiseksi. Yritys väittää, että kaupallisen käytön rajoittaminen auttaa estämään laittoman uudelleenpakkaamisen ja tukee pitkän aikavälin innovaatiota.

”Kun insinöörit kirjoittavat koodia ongelman ratkaisemiseksi, staattinen analyysi tarkastelee koodia suorittamatta, tunnistaa kuviot ja potentiaaliset ongelmat varhain kehitysprosessissa. Semgrep on arvostettu pelaaja tässä alalla, ja pidän heitä korkeassa arvossa”, Sanket sanoi. ”Hänen lisenssimuutoksensa kuitenkin heijastavat laajempaa totuutta: VC-rahoitteiset yritykset on tasapainotettava avoimen lähdekoodin periaatteita kestävien liiketoimintamallien kanssa.”

Hän huomauttaa, että vaikka muutos ei vaikuttanut suoraan loppukäyttäjiin, se herättää jatkuvan keskustelun siitä, pitäisikö avoimen lähdekoodin pysyä täysin rajoittamattomana vai kehittyä varmistamaan pitkän aikavälin elinkelpoisuus.

Tammikuussa 2025 kymmenen DevSec-yritystä, mukaan lukien Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb ja Orca Security, muodostivat konsortion lanseeratakseen Opengrepin. Perinteisesti kilpailevat yritykset suunnittelivat uuden konsortion, joka haastaa suoraan Semgrep:n päätöksen rajoittaa toimintoja kaupallisen hyödyn vuoksi. Endor Labsin blogipostauksessa todettiin, että staattinen koodianalyysi on ”liian tärkeää rajoittaa”.

On kuitenkin epäselvää, onko Opengrep vain uudelleenpakkaus perinteisestä koodista vai tarjoaako se täysin uuden ratkaisun.

Avoimen lähdekoodin vaihtoehtojen nousu

DeepSource tunnisti kasvavan tarpeen kehittäjien joukossa työkalulle, joka ei peri perinteisiä rajoituksia. ”Yritysasiakkaat eivät halua tasapainotella useita työkaluja – se luo integraatiota haasteita ja lisää yhden kokonaisvaltaisen ratkaisun vaatimusta”, Sanket selitti. ”Staattinen analyysi on avainasemassa koodin arkkitehtuurin ymmärtämisessä, ja siksi olemme asettaneet itsellemme yhdenmukaisen alustan.”

DeepSourcen Globstar ei kuitenkaan ole ainoa, useat staattisen koodianalyysin vaihtoehdot ovat saavuttaneet suosiota Semgrep:n lisenssikiistan jälkeen. Esimerkiksi SonarQube on koodianalyysialusta, joka tarjoaa sekä ilmaisen Community Editionin että maksullisia versioita staattiseen koodianalyysiin, integraatiotukeen ja mittausseurantaan. Vastaavasti ShellCheck on toinen vaihtoehto, jota käytetään erityisesti shell-skriptien analysointiin, ja auttaa kehittäjiä havaitsemaan skriptausvirheitä, jotka voivat myöhemmin johtaa suuriin virheisiin tai tehokkuusongelmiin. Se merkitsee komentoja tai syntaksia, jotka eivät välttämättä ole siirrettävissä eri shell-ympäristöjen välillä. Helppokäyttöisyytensä ja kykynsä suorittaa komentoriviltä ja integroida CI/CD-pipelineen ansiosta ShellCheck on tullut yhä suositummaksi valinnaksi.

Vaikka Opengrep pyrkii säilyttämään perinteisen työkalun avoimen lähdekoodin, muut vaihtoehdot, kuten SonarQube, Globstar ja ShellCheck, tarjoavat myös tuoreen, eteenpäin suunnatun ratkaisun. Avoimen lähdekoodin keskustelu käydään, kehittäjät ja yritykset kohtaavat ratkaisevia valintoja, jotka voivat määritellä koodianalyysin maiseman uudelleen.