Connect with us

Sicurezza informatica

Alternative Open-Source tra la controversia sulla licenza di Semgrep

mm
Published
Updated

La comunità di sicurezza ha assistito a un cambiamento sismico nel gennaio 2025, quando aziende rivali si sono unite per lanciare Opengrep – una fork dell’strumento di testing della sicurezza delle applicazioni statiche, Semgrep. Un tempo celebrato per la sua etica open-source guidata dalla comunità, Semgrep ha scatenato una controversia quando ha modificato il suo modello di licenza nel dicembre 2024. Questi cambiamenti di licenza hanno restrittto l’utilizzo di regole contribuite in prodotti commerciali e hanno spostato funzionalità chiave dietro un paywall.

Semgrep è diventato uno strumento essenziale per gli sviluppatori in tutto il mondo grazie alla sua capacità di rilevare vulnerabilità in più linguaggi di programmazione. Tuttavia, la decisione dell’azienda rischia di soffocare l’innovazione in un’area vitale per la moderna sicurezza informatica.

Nel mezzo della controversia, la startup DevSecOps DeepSource ha lanciato Globstar, un nuovo toolkit open-source per la sicurezza del codice. Costruito da zero e rilasciato sotto licenza MIT, Globstar afferma di fornire un accesso commerciale e pubblico completo e senza restrizioni al suo codice.

“Attraverso Globstar, stiamo offrendo un approccio fresco all’analisi statica personalizzata, progettata tenendo presente le esigenze dei team di sicurezza. È emerso da un framework interno che avevamo sviluppato per la rilevazione delle minacce”, Sanket Saurav, co-fondatore e CEO di DeepSource, mi ha detto. “Semgrep è già in mani capaci e il nostro obiettivo era intraprendere un percorso diverso. Ci vediamo non come un sostituto, ma come un’alternativa che porta una nuova prospettiva nello spazio”.

L’azienda ha raccolto un totale di 7,7 milioni di dollari di finanziamenti e attualmente è supportata da investitori di Y-Combinator.

Sviluppato utilizzando il linguaggio di programmazione Go e integrato con Tree-sitter, Globstar supporta oltre 20 linguaggi di programmazione. Il toolkit presenta un’interfaccia YAML intuitiva per la creazione di controlli di sicurezza personalizzati e un’interfaccia Go avanzata per analisi complesse e cross-file.

“Quando un progetto viene forkato, spesso prende una traiettoria diversa – ma quando è costretto a costruire su un prodotto esistente, l’innovazione può essere limitata”, ha detto Sanket. “Abbiamo creato un sistema che semplifica il processo di scrittura di controlli di codice personalizzati”.

Necessità aziendale versus preservazione open-source

Il 13 dicembre 2024, Semgrep ha rivisto il suo modello di licenza per restrittre l’utilizzo di regole contribuite da parte di aziende commerciali senza autorizzazione. Inoltre, l’azienda ha ribattezzato la sua versione open-source in “Semgrep CE” (Community Edition). Semgrep afferma che i cambiamenti di licenza sono essenziali per proteggere la proprietà intellettuale e garantire entrate sostenibili. L’azienda sostiene che la restrizione dell’utilizzo commerciale aiuta a prevenire il riutilizzo non autorizzato e supporta l’innovazione a lungo termine.

“Quando gli ingegneri scrivono codice per risolvere un problema, l’analisi statica esamina il codice senza esecuzione, identificando modelli e potenziali problemi all’inizio del processo di sviluppo. Semgrep è un attore rispettato in questo spazio e lo tengo in alta considerazione”, ha detto Sanket. “Tuttavia, il suo cambiamento di licenza per gli utenti commerciali riflette una realtà più ampia: le aziende supportate da VC devono bilanciare i principi open-source con modelli di business sostenibili”.

Sottolinea che, sebbene il cambiamento non abbia avuto un impatto diretto sugli utenti finali, solleva un dibattito in corso su se l’open-source debba rimanere completamente senza restrizioni o evolversi per garantire la vitalità a lungo termine.

A gennaio 2025, 10 aziende DevSec, tra cui Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb e Orca Security, hanno formato un consorzio per lanciare Opengrep. Tradizionalmente concorrenti fieri, il nuovo consorzio intende sfidare direttamente la decisione di Semgrep di limitare la funzionalità a favore del guadagno commerciale. In un post del blog, Endor Labs ha affermato che l’analisi del codice statico è “troppo importante per essere restrittiva”.

Tuttavia, non è ancora chiaro se Opengrep ripackaggi semplicemente il codice legacy invece di offrire una soluzione completamente nuova.

La crescita delle alternative open-source

DeepSource ha riconosciuto una crescente necessità tra gli sviluppatori per uno strumento che non erediti vincoli legacy. “I clienti aziendali non vogliono gestire più strumenti – crea sfide di integrazione e alimenta la domanda di una soluzione all-in-one”, ha spiegato Sanket. “L’analisi statica svolge un ruolo cruciale nella comprensione dell’architettura del codice, ed è per questo che ci siamo posizionati come una piattaforma unificata”.

Tuttavia, Globstar di DeepSource non è solo, diverse alternative di analisi del codice statico hanno guadagnato trazione dopo la controversia sulla licenza di Semgrep. Ad esempio, SonarQube è una piattaforma di analisi del codice che offre sia una versione Community gratuita che versioni a pagamento, per l’analisi del codice statico, il supporto all’integrazione e il tracciamento delle metriche. Allo stesso modo, ShellCheck è un’altra alternativa utilizzata specificamente per l’analisi degli script shell e aiuta gli sviluppatori a rilevare errori di scripting che potrebbero successivamente portare a bug o inefficienze importanti. Segnala comandi o sintassi che potrebbero non essere portabili tra diversi ambienti shell. A causa della sua facilità d’uso – capacità di eseguire dalla riga di comando e integrarsi facilmente nelle pipeline CI/CD, ShellCheck è diventata una scelta sempre più popolare.

Mentre Opengrep cerca di preservare le radici open-source di uno strumento legacy, altre alternative come SonarQube, Globstar e ShellCheck offrono anche una soluzione fresca e innovativa. Mentre il dibattito open-source si svolge, gli sviluppatori e le aziende affrontano scelte cruciali che potrebbero ridefinire il panorama dell’analisi del codice.

Related Topics:
mm

Victor Dey è un editore tecnico e scrittore che copre A.I., crypto, data science, metaverse e cybersecurity all'interno del settore aziendale. Vanta mezza decade di esperienza nei media e nell'AI lavorando per noti outlet mediatici come VentureBeat, Metaverse Post, Observer e altri. Victor ha guidato studenti fondatori in programmi di accelerazione presso università leader come l'Università di Oxford e l'Università della California meridionale, e detiene un Master in data science e analisi.