Suivez nous sur

Alternatives open source face Ă  la controverse sur la licence Semgrep

Cybersécurité

Alternatives open source face Ă  la controverse sur la licence Semgrep

mm
Publié

La communautĂ© de la sĂ©curitĂ© a Ă©tĂ© tĂ©moin d'un changement sismique en janvier 2025, lorsque des entreprises rivales se sont unies pour lancer Opengrep— un dĂ©rivĂ© de l'outil de test de sĂ©curitĂ© des applications statiques Semgrep. Autrefois reconnu pour son esprit open source axĂ© sur la communautĂ©, SemgrepName a suscitĂ© la controverse lorsqu'il a modifiĂ© son modèle de licence en dĂ©cembre 2024. Ces changements de licence ont restreint l'utilisation des règles contribuĂ©es dans les produits commerciaux et ont dĂ©placĂ© les fonctionnalitĂ©s clĂ©s derrière un mur payant.

Semgrep est devenu un outil essentiel pour les développeurs du monde entier grâce à sa capacité à détecter les vulnérabilités dans de nombreux langages de programmation. Cependant, la décision de l'entreprise risque de freiner l'innovation dans un domaine crucial pour la cybersécurité moderne.

Au milieu de la controverse, la startup DevSecOps DeepSource a Ă©tĂ© lancĂ©e Globstar, une nouvelle boĂ®te Ă  outils open source pour la sĂ©curitĂ© du code. Conçue de toutes pièces et publiĂ©e sous licence MIT, Globstar affirme vouloir offrir un accès commercial illimitĂ© et un accès public complet Ă  son code.

« Avec Globstar, nous proposons une nouvelle approche de l'analyse statique personnalisĂ©e, conçue pour rĂ©pondre aux besoins des Ă©quipes de sĂ©curitĂ©. Elle est issue d'un cadre interne que nous avons dĂ©veloppĂ© pour la dĂ©tection des menaces. » Sanket Saurav, co-fondateur et PDG de Source profonde, m'a-t-il confiĂ©. « Semgrep est dĂ©jĂ  entre de bonnes mains, et notre objectif Ă©tait de nous dĂ©marquer. Nous ne nous considĂ©rons pas comme un remplaçant, mais comme une alternative qui apporte une nouvelle perspective Ă  l'espace. »

La société a levé un total de 7.7 millions de dollars de financement et est actuellement soutenue par les investisseurs de Y-Combinator.

Développé en langage de programmation Go et intégré à Tree-sitter, Globstar prend en charge plus de 20 langages de programmation. La boîte à outils comprend une interface YAML intuitive pour la création de vérificateurs de sécurité personnalisés et une interface Go avancée pour l'analyse multi-fichiers complexe.

« Lorsqu'un projet est dérivé, il prend souvent une trajectoire différente, mais lorsqu'il est contraint de s'appuyer sur un produit existant, l'innovation peut être limitée », a déclaré Sanket. « Nous avons créé un système qui simplifie le processus de création de vérificateurs de code personnalisés. »

Nécessité commerciale versus préservation open source

Le 13 dĂ©cembre 2024, Semgrep a remaniĂ© son modèle de licence afin de restreindre l'utilisation par des tiers de règles contribuĂ©es dans des produits commerciaux concurrents sans autorisation. De plus, l'entreprise a rebaptisĂ© sa version open source « Semgrep CE Â» (Édition Communautaire). Semgrep affirme que ces modifications de licence sont essentielles pour protĂ©ger la propriĂ©tĂ© intellectuelle et garantir des revenus durables. L'entreprise soutient que la restriction de l'utilisation commerciale contribue Ă  freiner le reconditionnement non autorisĂ© et soutient l'innovation Ă  long terme.

« Lorsque les ingĂ©nieurs Ă©crivent du code pour rĂ©soudre un problème, l'analyse statique examine le code sans l'exĂ©cuter, identifiant ainsi les tendances et les problèmes potentiels dès les premières Ă©tapes du dĂ©veloppement. Semgrep est un acteur respectĂ© dans ce domaine, et je les tiens en haute estime », a dĂ©clarĂ© Sanket. « Cependant, leur Ă©volution en matière de licences pour les utilisateurs commerciaux reflète une rĂ©alitĂ© plus large : les entreprises financĂ©es par du capital-risque doivent concilier principes open source et modèles Ă©conomiques durables. »

Il note que même si le changement n'a pas eu d'impact direct sur les utilisateurs finaux, il soulève un débat permanent sur la question de savoir si l'open source doit rester entièrement sans restriction ou évoluer pour assurer sa viabilité à long terme.

En janvier 2025, dix entreprises de DevSec, dont Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb et Orca Security, ont formĂ© un consortium pour lancer Opengrep. Traditionnellement très compĂ©titifs, le nouveau consortium entend contester directement la dĂ©cision de Semgrep de limiter les fonctionnalitĂ©s Ă  des fins commerciales. blog rĂ©centsEndor Labs a dĂ©clarĂ© que l’analyse de code statique est « trop importante pour ĂŞtre restreinte ».

Cependant, il n'est pas encore clair si Opengrep se contente de reconditionner du code hérité plutôt que d'offrir une solution complètement nouvelle.

L'essor des alternatives open source 

DeepSource a identifiĂ© un besoin croissant chez les dĂ©veloppeurs pour un outil qui s'affranchit des contraintes hĂ©ritĂ©es. « Les entreprises clientes ne souhaitent pas jongler avec plusieurs outils : cela crĂ©e des difficultĂ©s d'intĂ©gration et stimule la demande pour une solution tout-en-un », explique Sanket. « L'analyse statique joue un rĂ´le crucial dans la comprĂ©hension de l'architecture du code, c'est pourquoi nous nous sommes positionnĂ©s comme une plateforme unifiĂ©e. »

Cependant, Globstar, développé par DeepSource, n'est pas le seul à le faire. Plusieurs alternatives d'analyse de code statique ont gagné en popularité suite à la controverse sur la licence Semgrep. Par exemple, SonarQube est une plateforme d'analyse de code proposant une édition communautaire gratuite et des versions payantes pour l'analyse de code statique, l'assistance à l'intégration et le suivi des indicateurs. ShellCheck est également une autre alternative spécifiquement utilisée pour l'analyse des scripts shell et aide les développeurs à détecter les erreurs de script susceptibles d'entraîner des bugs majeurs ou des inefficacités. Il signale les commandes ou la syntaxe potentiellement incompatibles entre différents environnements shell. Grâce à sa simplicité d'utilisation (exécution en ligne de commande et intégration aisée aux pipelines CI/CD), ShellCheck est devenu un choix de plus en plus populaire.

Si Opengrep cherche à préserver les racines ouvertes d'un outil historique, d'autres alternatives comme SonarQube, Globstar et ShellCheck offrent également une solution innovante et avant-gardiste. Alors que le débat sur l'open source se développe, les développeurs et les entreprises sont confrontés à des choix cruciaux susceptibles de redéfinir le paysage de l'analyse de code.

Rubriques connexes:
mm

Victor Dey est un rédacteur et éditeur technique qui couvre l'IA, la cryptographie, la science des données, le métaverse et la cybersécurité dans le domaine de l'entreprise. Il bénéficie d'une demi-décennie d'expérience dans les médias et l'IA, ayant travaillé dans des médias bien connus tels que VentureBeat, Metaverse Post, Observer et d'autres. Victor a encadré des étudiants fondateurs dans des programmes d'accélération dans des universités de premier plan, notamment l'Université d'Oxford et l'Université de Californie du Sud, et est titulaire d'une maîtrise en science des données et en analyse.