オープンソースの代替案 – Semgrep ライセンス論争の最中

セキュリティコミュニティは、2025年1月に大きな変化を目撃しました。競合他社がOpengrepを立ち上げたのです。Opengrepは、静的アプリケーションセキュリティテストツールであるSemgrepのフォークです。かつてはコミュニティ主導のオープンソースの精神で称賛されていたSemgrepですが、2024年12月にライセンスモデルを変更し、論争を巻き起こしました。このライセンスの変更により、商用製品での寄付ルールの使用が制限され、主要機能が有料化されました。

Semgrepは、複数のプログラミング言語での脆弱性を検出する能力により、世界中の開発者の必須ツールとなりました。しかし、会社の決定は、現代のサイバーセキュリティに不可欠な分野でのイノベーションを抑制する可能性があります。

この論争の中、DevSecOpsスタートアップのDeepSourceは、新しいオープンソースツールキットGlobstarを立ち上げました。Globstarは、スクラッチから構築され、MITライセンスの下でリリースされており、コードへの商用および全パブリックアクセスを制限なく提供することを目指しています。

「Globstarを通じて、私たちはカスタム静的分析に新しいアプローチを提供しています。セキュリティチームのニーズに応じて設計されています。これは、内部で開発していた脅威検出フレームワークから生まれたものです。Semgrepはすでに有能なチームの手にあり、私たちの目標は異なる道を歩むことでした。私たちは、代替ではなく、新しい視点をもたらす代替案であると考えています。」と、Sanket Saurav、DeepSourceの共同創設者兼CEOは私に話しました。

同社は、総額7.7Mドルの資金を調達し、現在はY-Combinatorの投資家によって支援されています。

Goプログラミング言語を使用して開発され、Tree-sitterと統合されたGlobstarは、20以上のプログラミング言語をサポートしています。ツールキットには、カスタムセキュリティチェッカーを作成するための直感的なYAMLインターフェイスと、複雑なクロスファイル分析のための高度なGoインターフェイスが含まれています。

「プロジェクトがフォークされると、別の軌道を辿ることが多いですが、既存の製品の上に構築することによって、イノベーションが制限される可能性があります。」とSanketは述べました。「カスタムコードチェッカーを書くプロセスを簡素化するシステムを作成しました。」

ビジネス上の必要性対オープンソースの保存

2024年12月13日、Semgrepはライセンスモデルを変更し、第三者による寄付ルールの商用製品での使用を制限しました。また、同社はオープンソースバージョンを「Semgrep CE」（コミュニティエディション）にリブランドしました。Semgrepは、ライセンスの変更は知的財産を保護し、持続可能な収益を確保するために必要であると主張しています。同社は、商用使用の制限により、無許可の再パッケージ化を防ぎ、長期的なイノベーションを支援するという見解を示しています。

「エンジニアが問題を解決するためにコードを書くとき、静的分析はコードを実行せずにパターンや潜在的な問題を検出します。Semgrepはこの分野の尊敬されるプレーヤーであり、私は彼らを高く評価しています。」とSanketは述べました。「しかし、彼らの商用ユーザー向けのライセンス変更は、より広い現実を反映しています。VCバックの会社は、オープンソースの原則と持続可能なビジネスモデルとのバランスを取らなければなりません。」

彼は、変更がエンドユーザーに直接影響しなかったものの、オープンソースが完全に制限なく残るべきか、長期的な実現可能性を確保するために進化すべきかという、継続的な議論を引き起こしていることを指摘しています。

2025年1月、10のDevSec会社（Aikido Security、Arnica、Amplify Security、Endor Labs、Jit、Kodem、Legit Security、Mobb、Orca Security）がOpengrepを立ち上げるためにコンソーシアムを結成しました。伝統的に熾烈な競争相手であったこの新しいコンソーシアムは、Semgrepの決定に直接対抗し、商業的な利益のために機能を制限しようとしています。Endor Labsはブログ投稿で、静的コード分析は「制限されるにはあまりに重要」であると述べています。

しかし、Opengrepがレガシーコードを単に再パッケージ化しているだけで、完全に新しいソリューションを提供していない可能性があることはまだ明らかではありません。

オープンソースの代替案の台頭

DeepSourceは、開発者がレガシーの制約を受け継がないツールを必要としていることを認識しました。「企業顧客は複数のツールを扱いたくない、それは統合の課題を生み出し、ワンストップソリューションの需要を生み出します。」とSanketは説明しました。「静的分析はコードアーキテクチャを理解する上で重要な役割を果たすため、私たちは統合プラットフォームとして ourselves を位置付けました。」

DeepSourceのGlobstarは唯一の選択肢ではありません。Semgrepのライセンス論争の後、静的コード分析の代替案が注目を集めています。たとえば、SonarQubeは、静的コード分析、統合サポート、メトリクストラッキングのための無料のコミュニティエディションと有料バージョンを提供するコード分析プラットフォームです。同様に、ShellCheckは、シェルスクリプトを分析するための別の代替案であり、開発者が後に重大なバグや非効率性につながる可能性のあるスクリプティングエラーを捕捉するのに役立ちます。ShellCheckは、コマンドラインから実行でき、CI/CDパイプラインに簡単に統合できるため、使いやすさにより人気の選択肢となっています。

Opengrepがレガシーツールのオープンルーツを保存しようとしている一方で、SonarQube、Globstar、ShellCheckなどの代替案は、フレッシュで前向きなソリューションを提供しています。オープンソースの議論が展開するにつれて、開発者と企業は、コード分析の景観を再定義する可能性のある重要な選択に直面しています。