साइबर सुरक्षा
सेमग्रेप लाइसेंसिंग विवाद के बीच ओपन-सोर्स विकल्प
सुरक्षा समुदाय ने जनवरी 2025 में, एक भूकंपीय परिवर्तन का साक्षी बना, जब प्रतिद्वंद्वी कंपनियों ने मिलकर ओपनग्रेप लॉन्च किया – स्टेटिक एप्लिकेशन सिक्योरिटी टेस्टिंग टूल, सेमग्रेप का एक फोर्क। एक बार इसकी सामुदायिक-चालित ओपन-सोर्स नीति के लिए जाना जाता था, सेमग्रेप ने विवाद को जन्म दिया जब इसने दिसंबर 2024 में अपने लाइसेंसिंग मॉडल को बदल दिया। इन लाइसेंसिंग परिवर्तनों ने व्यावसायिक उत्पादों में योगदान नियमों के उपयोग को प्रतिबंधित किया और प्रमुख विशेषताओं को भुगतान दीवार के पीछे स्थानांतरित कर दिया।
सेमग्रेप विश्वभर के डेवलपर्स के लिए एक आवश्यक उपकरण बन गया था क्योंकि यह कई प्रोग्रामिंग भाषाओं में कमजोरियों का पता लगाने में सक्षम था। हालांकि, कंपनी के इस निर्णय से आधुनिक साइबर सुरक्षा के लिए महत्वपूर्ण क्षेत्र में नवाचार को दबाने का खतरा है।
विवाद के बीच, डेवसेक ऑपरेशंस स्टार्टअप डीपसोर्स ने ग्लोबस्टार लॉन्च किया, एक नया ओपन-सोर्स टूलकिट कोड सुरक्षा के लिए। शून्य से निर्मित और एमआईटी लाइसेंस के तहत जारी, ग्लोबस्टार का दावा है कि यह अपने कोड के लिए असीमित व्यावसायिक और पूर्ण सार्वजनिक पहुंच प्रदान करता है।
“ग्लोबस्टार के माध्यम से, हम कस्टम स्टेटिक विश्लेषण के लिए एक ताज़ा दृष्टिकोण प्रदान कर रहे हैं, जो सुरक्षा टीमों की आवश्यकताओं को ध्यान में रखकर डिज़ाइन किया गया है। यह हमारे द्वारा विकसित किए गए एक आंतरिक फ्रेमवर्क से उत्पन्न हुआ था जो खतरे का पता लगाने के लिए था,” संकेत सौरव, डीपसोर्स के सह-संस्थापक और सीईओ ने मुझे बताया। “सेमग्रेप पहले से ही सक्षम हाथों में है, और हमारा उद्देश्य एक अलग मार्ग अपनाना था। हम खुद को एक प्रतिस्थापन के रूप में नहीं, बल्कि एक विकल्प के रूप में देखते हैं जो इस क्षेत्र में एक नई दृष्टि लाता है।”
कंपनी ने कुल $7.7M की फंडिंग जुटाई है और वर्तमान में यह वाई-कॉम्बिनेटर निवेशकों द्वारा समर्थित है।
गो प्रोग्रामिंग भाषा का उपयोग करके विकसित और ट्री-सिटर के साथ एकीकृत, ग्लोबस्टार 20 से अधिक प्रोग्रामिंग भाषाओं का समर्थन करता है। टूलकिट में कस्टम सुरक्षा चेकर बनाने के लिए एक सहज यामल इंटरफ़ेस और जटिल, क्रॉस-फ़ाइल विश्लेषण के लिए एक उन्नत गो इंटरफ़ेस सुविधाएँ हैं।
“जब एक परियोजना को फोर्क किया जाता है, तो यह अक्सर एक अलग ट्रेजेक्टरी लेती है – लेकिन जब यह एक मौजूदा उत्पाद के शीर्ष पर निर्माण करने के लिए प्रतिबंधित होती है, तो नवाचार सीमित हो सकता है,” संकेत ने कहा। “हमने एक ऐसी प्रणाली बनाई है जो कस्टम कोड चेकर लिखने की प्रक्रिया को सरल बनाती है।”
व्यवसाय आवश्यकता बनाम ओपन-सोर्स संरक्षण
13 दिसंबर, 2024 को, सेमग्रेप ने अपने लाइसेंसिंग मॉडल को पुनः डिज़ाइन किया ताकि प्रतिद्वंद्वी व्यावसायिक उत्पादों में योगदान नियमों के उपयोग को प्रतिबंधित किया जा सके बिना अनुमति के। इसके अलावा, कंपनी ने अपने ओपन-सोर्स संस्करण को “सेमग्रेप सीई” (कम्युनिटी संस्करण) में पुनः ब्रांड किया। सेमग्रेप दावा करता है कि इसके लाइसेंसिंग परिवर्तन बौद्धिक संपदा की रक्षा करने और स्थायी राजस्व सुनिश्चित करने के लिए आवश्यक हैं। कंपनी का तर्क है कि व्यावसायिक उपयोग को प्रतिबंधित करने से अनधिकृत पुनः पैकेजिंग को रोका जा सकता है और दीर्घकालिक नवाचार का समर्थन किया जा सकता है।
“जब इंजीनियर समस्या का समाधान करने के लिए कोड लिखते हैं, तो स्टेटिक विश्लेषण कोड की जांच करता है निष्पादन के बिना, पैटर्न और संभावित मुद्दों की पहचान विकास प्रक्रिया में शुरुआती चरणों में। सेमग्रेप इस क्षेत्र में एक सम्मानित खिलाड़ी है, और मैं उन्हें बहुत सम्मान देता हूं,” संकेत ने कहा। “हालांकि, उनके व्यावसायिक उपयोगकर्ताओं के लिए लाइसेंसिंग में परिवर्तन एक व्यापक वास्तविकता को दर्शाता है: वीसी-समर्थित कंपनियों को ओपन-सोर्स सिद्धांतों के साथ स्थायी व्यवसाय मॉडल को संतुलित करना होगा।”
वह ध्यान दिलाते हैं कि जबकि परिवर्तन सीधे तौर पर अंतिम उपयोगकर्ताओं को प्रभावित नहीं करता है, यह एक चल रही बहस को उठाता है कि क्या ओपन सोर्स पूरी तरह से अप्रतिबंधित रहना चाहिए या दीर्घकालिक व्यवहार्यता सुनिश्चित करने के लिए विकसित होना चाहिए।
जनवरी 2025 में, 10 डेवसेक फर्मों ने एक संघ बनाया, जिसमें एकिडो सिक्योरिटी, अर्निका, एम्प्लिफाई सिक्योरिटी, एंडोर लैब्स, जिट, कोडेम, लेगिट सिक्योरिटी, मोब और ऑर्का सिक्योरिटी शामिल हैं – सेमग्रेप के निर्णय को चुनौती देने के लिए ओपनग्रेप लॉन्च करने के लिए। पारंपरिक रूप से तीव्र प्रतिद्वंद्वी, नई संघ सेमग्रेप के निर्णय को सीधे तौर पर चुनौती देने की योजना बना रही है व्यावसायिक लाभ के लिए कार्यक्षमता को सीमित करने के लिए। एक ब्लॉग पोस्ट में, एंडोर लैब्स ने कहा कि स्टेटिक कोड विश्लेषण “प्रतिबंधित करने के लिए बहुत महत्वपूर्ण है”।
हालांकि, यह अभी तक स्पष्ट नहीं है कि क्या ओपनग्रेप वास्तव में एक पूरी तरह से नया समाधान प्रदान करता है या क्या यह केवल विरासत कोड को फिर से पैकेज करता है।
ओपन-सोर्स विकल्पों का उदय
डीपसोर्स ने डेवलपर्स के बीच एक ऐसे उपकरण की बढ़ती आवश्यकता को पहचाना जो विरासत प्रतिबंधों को विरासत में नहीं लेता है। “एंटरप्राइज़ ग्राहकों को कई उपकरणों के साथ जूझना नहीं चाहते – यह एकीकरण चुनौतियां पैदा करता है और एक समाधान की मांग को बढ़ावा देता है,” संकेत ने समझाया। “स्टेटिक विश्लेषण कोड वास्तुकला को समझने में एक महत्वपूर्ण भूमिका निभाता है, जिस कारण से हमने खुद को एक एकीकृत प्लेटफ़ॉर्म के रूप में स्थिति दी है।”
हालांकि, डीपसोर्स का ग्लोबस्टार अकेला नहीं है, सेमग्रेप लाइसेंसिंग विवाद के बाद कई स्टेटिक कोड विश्लेषण विकल्पों ने गति प्राप्त की है। उदाहरण के लिए, सोनारक्यूब एक कोड विश्लेषण प्लेटफ़ॉर्म है जो एक मुफ्त सामुदायिक संस्करण और भुगतान संस्करण प्रदान करता है, स्टेटिक कोड विश्लेषण, एकीकरण समर्थन और मेट्रिक्स ट्रैकिंग के लिए। इसी तरह, शेलचेक एक और विकल्प है जो विशेष रूप से शेल स्क्रिप्ट्स का विश्लेषण करने के लिए उपयोग किया जाता है, और डेवलपर्स को स्क्रिप्टिंग त्रुटियों को पकड़ने में मदद करता है जो बाद में बड़े बग या अक्षमताओं का कारण बन सकती हैं। यह कमांड या सिंटैक्स को फ्लैग करता है जो विभिन्न शेल वातावरण में पोर्टेबल नहीं हो सकता है। अपनी आसानी के कारण – कमांड लाइन से चलाने और सीआई/सीडी पाइपलाइनों में आसानी से एकीकृत करने की क्षमता, शेलचेक एक लोकप्रिय विकल्प बन गया है।
जबकि ओपनग्रेप एक विरासत उपकरण की ओपन-सोर्स जड़ों को संरक्षित करना चाहता है, अन्य विकल्प जैसे सोनारक्यूब, ग्लोबस्टार और शेलचेक एक ताज़ा और आगे की सोच वाला समाधान प्रदान करते हैं। जैसे ही ओपन-सोर्स बहस आगे बढ़ती है, डेवलपर्स और उद्यमों को निर्णय लेने का सामना करना पड़ता है जो कोड विश्लेषण के परिदृश्य को पुनः परिभाषित कर सकता है।
