Connect with us

Cybersécurité

Alternatives open source au milieu de la controverse sur la licence Semgrep

mm
Published
Updated

La communauté de la sécurité a été témoin d’un changement sismique en janvier 2025, alors que des entreprises rivales se sont unies pour lancer Opengrep — une fork de l’outil de test de sécurité d’application statique, Semgrep. Autrefois célébré pour son ethos open source axé sur la communauté, Semgrep a déclenché une controverse lorsqu’il a modifié son modèle de licence en décembre 2024. Ces changements de licence ont restreint l’utilisation des règles contribuées dans les produits commerciaux et ont déplacé les fonctionnalités clés derrière un paywall.

Semgrep est devenu un outil essentiel pour les développeurs du monde entier en raison de sa capacité à détecter les vulnérabilités dans de nombreux langages de programmation. Cependant, la décision de l’entreprise risque de étouffer l’innovation dans un domaine vital pour la cybersécurité moderne.

Au milieu de la controverse, la startup DevSecOps DeepSource a lancé Globstar, un nouvel outil open source pour la sécurité du code. Conçu à partir de zéro et publié sous licence MIT, Globstar affirme qu’il vise à fournir un accès commercial et public complet sans restriction à son code.

« Avec Globstar, nous offrons une approche fraîche de l’analyse statique personnalisée, conçue en tenant compte des besoins des équipes de sécurité. Il est issu d’un framework interne que nous avions développé pour la détection des menaces », a déclaré Sanket Saurav, co-fondateur et PDG de DeepSource, à mon intention. « Semgrep est déjà entre des mains capables, et notre objectif était de prendre un chemin distinct. Nous nous voyons non pas comme un remplacement, mais comme une alternative qui apporte une nouvelle perspective à l’espace. »

L’entreprise a levé un total de 7,7 millions de dollars en financement et est actuellement soutenue par des investisseurs de Y-Combinator.

Développé en utilisant le langage de programmation Go et intégré à Tree-sitter, Globstar prend en charge plus de 20 langages de programmation. L’outil dispose d’une interface YAML intuitive pour la création de vérificateurs de sécurité personnalisés et d’une interface Go avancée pour une analyse croisée de fichiers complexes.

« Lorsqu’un projet est forké, il prend souvent une trajectoire différente — mais lorsqu’il est contraint de se construire sur un produit existant, l’innovation peut être limitée », a déclaré Sanket. « Nous avons créé un système qui simplifie le processus d’écriture de vérificateurs de code personnalisés. »

Nécessité commerciale versus préservation open source

Le 13 décembre 2024, Semgrep a revu son modèle de licence pour restreindre l’utilisation par des tiers des règles contribuées dans les produits commerciaux concurrents sans autorisation. De plus, l’entreprise a rebaptisé sa version open source en « Semgrep CE » (Community Edition). Semgrep affirme que ses changements de licence sont essentiels pour protéger la propriété intellectuelle et assurer des revenus durables. L’entreprise soutient que la restriction de l’utilisation commerciale aide à prévenir le reconditionnement non autorisé et soutient l’innovation à long terme.

« Lorsque les ingénieurs écrivent du code pour résoudre un problème, l’analyse statique examine le code sans exécution, en identifiant les modèles et les problèmes potentiels dès le début du processus de développement. Semgrep est un acteur respecté dans cet espace, et je les tiens en haute estime », a déclaré Sanket. « Cependant, leur changement de licence pour les utilisateurs commerciaux reflète une réalité plus large : les entreprises à capitaux propres doivent équilibrer les principes open source avec des modèles commerciaux durables. »

Il note que même si le changement n’a pas directement affecté les utilisateurs finals, il soulève un débat en cours sur la question de savoir si l’open source doit rester entièrement sans restriction ou évoluer pour assurer sa viabilité à long terme.

En janvier 2025, 10 entreprises DevSec, dont Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb et Orca Security, ont formé un consortium pour lancer Opengrep. Traditionnellement des concurrents farouches, le nouveau consortium prévoit directement de contester la décision de Semgrep de limiter la fonctionnalité au profit du gain commercial. Dans un blog post, Endor Labs a déclaré que l’analyse de code statique est « trop importante pour être restreinte ».

Cependant, il n’est pas encore clair si Opengrep repackaging simplement le code legacy plutôt que d’offrir une solution complètement nouvelle.

L’essor des alternatives open source

DeepSource a reconnu un besoin croissant parmi les développeurs pour un outil qui n’hérite pas des contraintes legacy. « Les clients d’entreprise ne veulent pas jongler avec plusieurs outils — cela crée des défis d’intégration et stimule la demande d’une solution tout-en-un », a expliqué Sanket. « L’analyse statique joue un rôle crucial pour comprendre l’architecture du code, c’est pourquoi nous nous sommes positionnés comme une plate-forme unifiée. »

Cependant, Globstar de DeepSource n’est pas seul, plusieurs alternatives d’analyse de code statique ont gagné en popularité suite à la controverse sur la licence Semgrep. Par exemple, SonarQube est une plate-forme d’analyse de code qui propose à la fois une édition communautaire gratuite et des versions payantes, pour l’analyse de code statique, le support d’intégration et le suivi des métriques. De même, ShellCheck est une autre alternative spécifiquement utilisée pour analyser les scripts shell et aide les développeurs à détecter les erreurs de script qui pourraient plus tard entraîner des bogues ou des inefficacités majeures. Il signale les commandes ou la syntaxe qui peuvent ne pas être portables sur différents environnements shell. En raison de sa facilité d’utilisation — capacité à s’exécuter à partir de la ligne de commande et à s’intégrer facilement dans les pipelines CI/CD, ShellCheck est devenu un choix de plus en plus populaire.

Alors qu’Opengrep cherche à préserver les racines open source d’un outil legacy, d’autres alternatives comme SonarQube, Globstar et ShellCheck offrent également une solution fraîche et tournée vers l’avenir. Alors que le débat sur l’open source se déroule, les développeurs et les entreprises sont confrontés à des choix cruciaux qui pourraient redéfinir le paysage de l’analyse de code.

Related Topics:
mm

Victor Dey est un éditeur et rédacteur en chef de la technologie qui couvre l'I.A., la crypto, la science des données, le métaverse et la cybersécurité dans le domaine de l'entreprise. Il possède une expérience de plus d'un demi-décennie dans les médias et l'I.A. en travaillant pour des médias réputés tels que VentureBeat, Metaverse Post, Observer et d'autres. Victor a encadré des fondateurs étudiants dans des programmes d'accélérateurs dans des universités de premier plan, notamment l'Université d'Oxford et l'Université de Californie du Sud, et détient un diplôme de master en science des données et en analyse.