Cybersécurité

Alternatives open source au milieu de la controverse sur la licence Semgrep

mm

La communauté de la sécurité a connu un changement sismique en janvier 2025, alors que des entreprises rivales se sont unies pour lancer Opengrep – une fourchette de l’outil de test de sécurité d’application statique, Semgrep. Autrefois célébré pour son éthos open source axé sur la communauté, Semgrep a déclenché une controverse lorsqu’il a modifié son modèle de licence en décembre 2024. Ces changements de licence ont restreint l’utilisation des règles contribuées dans les produits commerciaux et ont déplacé les fonctionnalités clés derrière un paywall.

Semgrep est devenu un outil essentiel pour les développeurs du monde entier en raison de sa capacité à détecter les vulnérabilités dans de multiples langages de programmation. Cependant, la décision de l’entreprise risque de étouffer l’innovation dans un domaine vital pour la cybersécurité moderne.

Au milieu de la controverse, la startup DevSecOps DeepSource a lancé Globstar, un nouvel outil open source pour la sécurité du code. Conçu à partir de zéro et publié sous licence MIT, Globstar affirme qu’il vise à fournir un accès commercial et public complet non restreint à son code.

« Avec Globstar, nous offrons une approche fraîche de l’analyse statique personnalisée, conçue pour répondre aux besoins des équipes de sécurité. Il est issu d’un cadre interne que nous avions développé pour la détection des menaces », a déclaré Sanket Saurav, co-fondateur et PDG de DeepSource, à mon intention. « Semgrep est déjà entre des mains capables, et notre objectif était de prendre un chemin distinct. Nous ne nous voyons pas comme un remplacement, mais comme une alternative qui apporte une nouvelle perspective à l’espace ».

L’entreprise a levé un total de 7,7 millions de dollars en financement et est actuellement soutenue par des investisseurs de Y-Combinator.

Développé en utilisant le langage de programmation Go et intégré à Tree-sitter, Globstar prend en charge plus de 20 langages de programmation. L’outil dispose d’une interface YAML intuitive pour la création de vérificateurs de sécurité personnalisés et d’une interface Go avancée pour l’analyse complexe et transversale des fichiers.

« Lorsqu’un projet est forké, il prend souvent une trajectoire différente – mais lorsqu’il est contraint de se construire sur un produit existant, l’innovation peut être limitée », a déclaré Sanket. « Nous avons créé un système qui simplifie le processus d’écriture de vérificateurs de code personnalisés ».

Nécessité commerciale versus préservation open source

Le 13 décembre 2024, Semgrep a revu son modèle de licence pour restreindre l’utilisation par des tiers des règles contribuées dans les produits commerciaux sans autorisation. De plus, l’entreprise a rebaptisé sa version open source en « Semgrep CE » (Community Edition). Semgrep affirme que ses changements de licence sont essentiels pour protéger la propriété intellectuelle et assurer un modèle d’entreprise durable. L’entreprise soutient que la restriction de l’utilisation commerciale aide à prévenir le reconditionnement non autorisé et soutient l’innovation à long terme.

« Lorsque les ingénieurs écrivent du code pour résoudre un problème, l’analyse statique examine le code sans exécution, identifiant les modèles et les problèmes potentiels dès le début du processus de développement. Semgrep est un acteur respecté dans cet espace, et je les tiens en haute estime », a déclaré Sanket. « Cependant, leur changement de licence pour les utilisateurs commerciaux reflète une réalité plus large : les entreprises soutenues par des investisseurs doivent équilibrer les principes open source avec des modèles d’entreprise durables ».

Il note que même si le changement n’a pas directement affecté les utilisateurs finals, il soulève un débat en cours sur la question de savoir si l’open source doit rester entièrement sans restriction ou évoluer pour assurer sa viabilité à long terme.

En janvier 2025, 10 entreprises de DevSec, dont Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb et Orca Security, ont formé un consortium pour lancer Opengrep. Traditionnellement des concurrents féroces, le nouveau consortium prévoit directement de contester la décision de Semgrep de limiter la fonctionnalité au profit du gain commercial. Dans un article de blog, Endor Labs a déclaré que l’analyse de code statique est « trop importante pour être restreinte ».

Cependant, il n’est pas encore clair si Opengrep se contente de réemballer le code legacy plutôt que d’offrir une solution complètement nouvelle.

L’essor des alternatives open source

DeepSource a reconnu un besoin croissant parmi les développeurs pour un outil qui n’hérite pas des contraintes legacy. « Les clients d’entreprise ne veulent pas jongler avec plusieurs outils – cela crée des défis d’intégration et suscite la demande d’une solution tout-en-un », a expliqué Sanket. « L’analyse statique joue un rôle crucial pour comprendre l’architecture du code, c’est pourquoi nous nous positionnons comme une plate-forme unifiée ».

Cependant, Globstar de DeepSource n’est pas seul, plusieurs alternatives d’analyse de code statique ont gagné en popularité après la controverse sur la licence Semgrep. Par exemple, SonarQube est une plate-forme d’analyse de code qui propose à la fois une édition communautaire gratuite et des versions payantes pour l’analyse de code statique, le support d’intégration et le suivi des métriques. De même, ShellCheck est une autre alternative spécifiquement utilisée pour analyser les scripts shell et aide les développeurs à détecter les erreurs de script qui pourraient plus tard entraîner des bogues ou des inefficacités majeures. Il signale les commandes ou la syntaxe qui peuvent ne pas être portables dans différents environnements shell. En raison de sa facilité d’utilisation – capacité à s’exécuter à partir de la ligne de commande et à s’intégrer facilement dans les pipelines CI/CD, ShellCheck est devenu un choix de plus en plus populaire.

Alors que Opengrep cherche à préserver les racines open source d’un outil legacy, d’autres alternatives comme SonarQube, Globstar et ShellCheck offrent également une solution fraîche et prospective. Alors que le débat sur l’open source se déroule, les développeurs et les entreprises sont confrontés à des choix cruciaux qui pourraient redéfinir le paysage de l’analyse de code.

Victor Dey est un éditeur et écrivain technique qui couvre l'intelligence artificielle, la crypto, la science des données, le métaverse et la cybersécurité dans le domaine de l'entreprise. Il dispose de plus d'une demi-décennie d'expérience dans les médias et l'intelligence artificielle, ayant travaillé pour des médias réputés tels que VentureBeat, Metaverse Post, Observer et d'autres. Victor a encadré des fondateurs d'entreprises étudiantes dans des programmes d'accélérateurs dans des universités de premier plan, notamment l'Université d'Oxford et l'Université de Californie du Sud, et détient un diplôme de master en science des données et en analyse.