Alternatif Open-Source di Tengah Kontroversi Lisensi Semgrep

Komunitas keamanan menyaksikan pergeseran seismik pada bulan Januari 2025, ketika perusahaan-perusahaan pesaing bersatu untuk meluncurkan BukaGrep—cabang dari alat pengujian keamanan aplikasi statis, Semgrep. Pernah terkenal karena etos sumber terbuka yang digerakkan oleh komunitas, Semgrep menimbulkan kontroversi saat mengubah model perizinannya pada bulan Desember 2024. Perubahan perizinan ini membatasi penggunaan aturan yang disumbangkan dalam produk komersial dan mengalihkan fitur-fitur utama ke balik paywall.

Semgrep menjadi alat penting bagi para pengembang di seluruh dunia karena kemampuannya mendeteksi kerentanan dalam berbagai bahasa pemrograman. Namun, keputusan perusahaan tersebut berisiko menghambat inovasi di area yang penting bagi keamanan siber modern.

Di tengah kontroversi, startup DevSecOps DeepSource meluncurkan Bintang Dunia, perangkat lunak sumber terbuka baru untuk keamanan kode. Dibuat dari awal dan dirilis di bawah lisensi MIT, Globstar menyatakan bahwa mereka bertujuan untuk menyediakan akses komersial tanpa batas dan akses publik penuh ke kodenya.

“Melalui Globstar, kami menawarkan pendekatan baru untuk analisis statis khusus, yang dirancang dengan mempertimbangkan kebutuhan tim keamanan. Pendekatan ini muncul dari kerangka kerja internal yang telah kami kembangkan untuk deteksi ancaman,” Sanket Saurav, salah satu pendiri dan CEO dari Sumber Dalam, memberi tahu saya. “Semgrep sudah berada di tangan yang tepat, dan tujuan kami adalah mengambil jalan yang berbeda. Kami melihat diri kami bukan sebagai pengganti, tetapi sebagai alternatif yang membawa perspektif baru ke dalam bidang ini.”

Perusahaan ini telah mengumpulkan total pendanaan sebesar $7.7 juta dan saat ini didukung oleh investor Y-Combinator.

Dikembangkan dengan menggunakan bahasa pemrograman Go dan terintegrasi dengan Tree-sitter, Globstar mendukung lebih dari 20 bahasa pemrograman. Toolkit ini memiliki antarmuka YAML yang intuitif untuk membuat pemeriksa keamanan khusus dan antarmuka Go yang canggih untuk analisis lintas-file yang kompleks.

“Ketika sebuah proyek bercabang, sering kali proyek tersebut mengambil lintasan yang berbeda—tetapi ketika dibatasi untuk membangun di atas produk yang sudah ada, inovasi dapat dibatasi,” kata Sanket. “Kami menciptakan sistem yang menyederhanakan proses penulisan pemeriksa kode khusus.”

Keperluan Bisnis Versus Pelestarian Sumber Terbuka

Pada 13 Desember 2024, Semgrep mengubah model lisensinya untuk membatasi penggunaan aturan yang disumbangkan oleh pihak ketiga dalam produk komersial yang bersaing tanpa izin. Selain itu, perusahaan mengganti nama versi sumber terbukanya menjadi “Semgrep CE” (Edisi Komunitas). Semgrep mengklaim bahwa perubahan lisensinya penting untuk melindungi kekayaan intelektual dan memastikan pendapatan yang berkelanjutan. Perusahaan berpendapat bahwa pembatasan penggunaan komersial membantu mengekang pengemasan ulang yang tidak sah dan mendukung inovasi jangka panjang.

“Saat teknisi menulis kode untuk memecahkan masalah, analisis statis memeriksa kode tanpa eksekusi, mengidentifikasi pola dan potensi masalah di awal proses pengembangan. Semgrep adalah pemain yang disegani di bidang ini, dan saya sangat menghargai mereka,” kata Sanket. “Namun, perubahan mereka dalam pemberian lisensi untuk pengguna komersial mencerminkan realitas yang lebih luas: Perusahaan yang didukung VC harus menyeimbangkan prinsip sumber terbuka dengan model bisnis yang berkelanjutan.”

Ia mencatat bahwa meskipun perubahan tersebut tidak berdampak langsung pada pengguna akhir, hal itu menimbulkan perdebatan berkelanjutan tentang apakah sumber terbuka harus tetap sepenuhnya tidak dibatasi atau berkembang untuk memastikan kelangsungan jangka panjang.

Pada bulan Januari 2025, 10 perusahaan DevSec termasuk Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb, dan Orca Security—membentuk konsorsium untuk meluncurkan Opengrep. Secara tradisional, konsorsium baru ini berencana untuk secara langsung menantang keputusan Semgrep untuk membatasi fungsionalitas demi keuntungan komersial. posting blogEndor Labs menyatakan bahwa analisis kode statis “terlalu penting untuk dibatasi”.

Namun, belum jelas apakah Opengrep hanya mengemas ulang kode lama dan tidak menawarkan solusi yang benar-benar baru.

Munculnya Alternatif Open-Source 

DeepSource menyadari adanya kebutuhan yang semakin meningkat di kalangan pengembang akan alat yang tidak mewarisi kendala lama. “Pelanggan perusahaan tidak ingin menggunakan banyak alat—ini menciptakan tantangan integrasi dan mendorong permintaan akan solusi lengkap,” jelas Sanket. “Analisis statis memainkan peran penting dalam memahami arsitektur kode, itulah sebabnya kami memposisikan diri sebagai platform terpadu.”

Namun, Globstar milik DeepSource tidak sendirian, beberapa alternatif analisis kode statis telah mendapatkan perhatian setelah kontroversi lisensi Semgrep. Misalnya, SonarQube adalah platform analisis kode yang menawarkan Edisi Komunitas gratis dan versi berbayar, untuk analisis kode statis, dukungan integrasi, dan pelacakan metrik. Demikian pula, ShellCheck adalah alternatif lain yang secara khusus digunakan untuk menganalisis skrip shell, dan membantu pengembang dalam menemukan kesalahan skrip yang nantinya dapat menyebabkan bug atau inefisiensi besar. Ia menandai perintah atau sintaksis yang mungkin tidak dapat dipindahkan di berbagai lingkungan shell. Karena kemudahan penggunaannya—kemampuan untuk dijalankan dari baris perintah dan mudah diintegrasikan ke dalam jalur CI/CD, ShellCheck telah menjadi pilihan yang semakin populer.

Sementara Opengrep berupaya mempertahankan akar terbuka dari alat lama, alternatif lain seperti SonarQube, Globstar, dan ShellCheck juga menawarkan solusi baru yang berpikiran maju. Seiring dengan berkembangnya perdebatan sumber terbuka, pengembang dan perusahaan menghadapi pilihan penting yang dapat mendefinisikan ulang lanskap analisis kode.