Semgrep ライセンス論争の中でのオープンソースの代替

2025年XNUMX月、セキュリティコミュニティは、ライバル企業が団結して オープングレップ—静的アプリケーションセキュリティテストツールであるSemgrepのフォーク。かつてはコミュニティ主導のオープンソース精神で称賛されていましたが、 セムグレップ 2024年XNUMX月にライセンスモデルを変更した際に論争が巻き起こった。ライセンスの変更により、寄稿されたルールの商用製品での使用が制限され、主要な機能が有料化されることになった。

Semgrep は、複数のプログラミング言語にわたる脆弱性を検出できるため、世界中の開発者にとって欠かせないツールとなった。しかし、同社の決定は、現代のサイバーセキュリティにとって極めて重要な分野におけるイノベーションを阻害する恐れがある。

論争の真っ只中、DevSecOpsのスタートアップDeepSourceが立ち上げた グロブスターは、コード セキュリティ用の新しいオープン ソース ツールキットです。Globstar は、このツールキットをゼロから構築し、MIT ライセンスの下でリリースし、コードへの無制限の商用アクセスと完全な一般公開を提供することを目指していると語っています。

「Globstarを通じて、セキュリティチームのニーズを念頭に設計されたカスタム静的分析への新しいアプローチを提供しています。これは、脅威検出のために開発した社内フレームワークから生まれました。」 サンケト・サウラフ、共同創設者兼最高経営責任者（CEO） ディープソースは私にこう語った。「Semgrep はすでに有能な人材の手に渡っており、私たちの目標は独自の道を進むことでした。私たちは自分たちを、代わりの人材ではなく、この分野に新しい視点をもたらす代替人材だと考えています。」

同社は総額7.7万ドルの資金を調達しており、現在はY-Combinatorの投資家から支援を受けている。

Go プログラミング言語を使用して開発され、Tree-sitter と統合された Globstar は、20 を超えるプログラミング言語をサポートしています。このツールキットには、カスタム セキュリティ チェッカーを作成するための直感的な YAML インターフェイスと、複雑なファイル間分析のための高度な Go インターフェイスが備わっています。

「プロジェクトが分岐すると、多くの場合、異なる軌道をたどりますが、既存の製品の上に構築するという制約があると、イノベーションが制限される可能性があります」とサンケット氏は語ります。「私たちは、カスタム コード チェッカーの作成プロセスを簡素化するシステムを作成しました。」

ビジネス上の必要性とオープンソースの保存

13年2024月XNUMX日、Semgrepはライセンスモデルを刷新し、提供されたルールを第三者が許可なく競合商用製品で使用することを制限しました。さらに、同社はオープンソース版を「Semgrep CE」（コミュニティエディション）にリブランドしました。Semgrepは、ライセンスの変更は知的財産を保護し、持続可能な収益を確保するために不可欠であると主張しています。同社は、商用利用を制限することで、無許可の再パッケージ化を抑制し、長期的なイノベーションをサポートすると主張しています。

「エンジニアが問題を解決するためにコードを書くとき、静的解析は実行せずにコードを調べ、開発プロセスの早い段階でパターンと潜在的な問題を特定します。Semgrep はこの分野で尊敬されている企業であり、私は彼らを高く評価しています」とサンケット氏は語ります。「しかし、商用ユーザー向けのライセンスの変更は、より広範な現実を反映しています。つまり、VC の支援を受ける企業は、オープンソースの原則と持続可能なビジネス モデルのバランスを取らなければならないということです。」

彼は、この変更がエンドユーザーに直接影響を与えることはなかったものの、オープンソースは完全に制限のないままにしておくべきか、それとも長期的な存続を確保するために進化させるべきかという継続的な議論を引き起こしていると指摘している。

2025年10月、Aikido Security、Arnica、Amplify Security、Endor Labs、Jit、Kodem、Legit Security、Mobb、Orca Securityを含むXNUMXのDevSec企業がコンソーシアムを結成し、Opengrepを立ち上げました。伝統的に激しい競争相手であるこの新しいコンソーシアムは、商業的利益を優先して機能を制限するというSemgrepの決定に直接異議を唱える予定です。 ブログ投稿Endor Labs は、静的コード分析は「制限するには重要すぎる」と述べています。

ただし、Opengrep がまったく新しいソリューションを提供するのではなく、単にレガシー コードを再パッケージ化しているだけなのかどうかはまだ明らかではありません。

オープンソースの代替品の台頭 

DeepSource は、開発者の間で、従来の制約を引き継がないツールに対するニーズが高まっていることを認識しました。「エンタープライズのお客様は、複数のツールを使い分けることを望んでいません。複数のツールを使い分けると統合の課題が生じ、オールインワン ソリューションの需要が高まります」と Sanket 氏は説明します。「静的分析は、コード アーキテクチャを理解する上で重要な役割を果たします。そのため、当社は統合プラットフォームとして位置づけています。」

しかし、DeepSource の Globstar だけではありません。Semgrep のライセンス論争を受けて、静的コード分析の代替手段がいくつか注目を集めています。たとえば、SonarQube は、静的コード分析、統合サポート、メトリック追跡用の無料 Community Edition と有料版の両方を提供するコード分析プラットフォームです。同様に、ShellCheck もシェル スクリプトの分析に特化した代替手段で、開発者が後で大きなバグや非効率性につながる可能性のあるスクリプト エラーを見つけるのに役立ちます。異なるシェル環境間で移植できない可能性のあるコマンドや構文にフラグを付けます。コマンドラインから実行でき、CI/CD パイプラインに簡単に統合できるなど、使いやすさから、ShellCheck はますます人気の選択肢になっています。

Opengrep はレガシー ツールのオープン ルーツを維持しようとしていますが、SonarQube、Globstar、ShellCheck などの他の代替手段も、斬新で先進的なソリューションを提供しています。オープン ソースの議論が進むにつれ、開発者や企業は、コード分析のあり方を再定義する可能性のある重要な選択に直面しています。