오픈소스 대안들: Semgrep 라이선스 논쟁 속에서

2025년 1월, 보안 커뮤니티는 Semgrep라는 정적 애플리케이션 보안 테스트 도구의 포크인 Opengrep를 출시하면서 큰 변화를 목격했습니다.曾经은 오픈소스 정신을 지키던 Semgrep는 2024년 12월 라이선스 모델을 변경하여 논란을 일으켰습니다. 이러한 라이선스 변경은 상업적 제품에서 기여한 규칙을 사용하는 것을 제한하고 주요 기능을 유료화했습니다.

Semgrep는 여러 프로그래밍 언어에서 취약점을检测하는 능력으로 개발자들에게 필수적인 도구가 되었습니다. 그러나 회사의 결정은 현대의 사이버 보안에 중요한 영역에서 혁신을 억제할 위험이 있습니다.

논란 속에서 DevSecOps 스타트업인 DeepSource는 Globstar라는 새로운 오픈소스 코드 보안 툴킷을 출시했습니다. 처음부터 개발되어 MIT 라이선스로 출시된 Globstar는 상업적 및 공개 액세스를 제공하는 것을 목표로 합니다.

“Globstar를 통해 우리는 보안 팀의 필요성을 고려하여 설계된 새로운 정적 분석 접근 방식을 제공하고 있습니다. 이것은 내부적으로 개발한 위협 감지 프레임워크에서 나온 것입니다.” Sanket Saurav, DeepSource의 공동 설립자이자 CEO는 мне에게 말했습니다. “Semgrep는 이미 유능한 손에 있으며, 우리의 목표는 다른 길을 걷는 것입니다. 우리는 대체재가 아니라 새로운 관점을 제공하는 대안이라고 생각합니다.”

회사는 총 770만 달러의 자금을 조달했으며 현재 Y-Combinator 투자자에 의해 지원되고 있습니다.

Go 프로그래밍 언어를 사용하여 개발되었으며 Tree-sitter와 통합된 Globstar는 20개 이상의 프로그래밍 언어를 지원합니다. 툴킷에는 사용자 지정 보안 체커를 생성하기 위한 직관적인 YAML 인터페이스와 복잡한 크로스 파일 분석을 위한 고급 Go 인터페이스가 있습니다.

“프로젝트가 포크되면 종종 다른 궤적을 따르지만, 기존 제품 위에 빌드하는 경우 혁신이 제한될 수 있습니다.” Sanket는 말했습니다. “사용자 지정 코드 체커를 작성하는 과정을 단순화하는 시스템을 만들었습니다.”

비즈니스 필요성 대 오픈소스 보존

2024년 12월 13일, Semgrep는 라이선스 모델을 변경하여 제3자의 상업적 제품에서 기여한 규칙을 사용하는 것을 제한했습니다. 또한, 회사에서는 오픈소스 버전을 “Semgrep CE” (커뮤니티 에디션)로 재 브랜드화했습니다. Semgrep는 라이선스 변경이 지적 재산권을 보호하고 지속 가능한 수익을 보장하기 위해 필요하다고 주장합니다. 회사에서는 상업적 사용을 제한하면 비인가된 재포장을 막고 장기적인 혁신을 지원한다고 주장합니다.

“엔지니어가 문제를 해결하기 위해 코드를 작성할 때, 정적 분석은 코드를 실행하지 않고 패턴과 잠재적인 문제를 개발 프로세스의 초기에 식별합니다. Semgrep는 이 영역에서 존경받는 플레이어이며, 나는 그들을 높은 평가를 합니다.” Sanket는 말했습니다. “그러나 상업적 사용자에게 대한 라이선스 변경은 더广泛한 현실을 반영합니다. 벤처 자본 지원 회사에서는 오픈소스 원칙과 지속 가능한 비즈니스 모델을 균형있게 조정해야 합니다.”

그는 변경이 직접적으로 최종 사용자에게 영향을 미치지 않았지만, 오픈소스가 완전히 제한되지 않도록 하거나 장기적인 비즈니스 모델을 보장하기 위해 진화해야 하는지에 대한 지속적인 논쟁을 제기한다고 지적합니다.

2025년 1월, 10개의 DevSec 회사들, Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb 및 Orca Security는 Semgrep의 결정에 도전하기 위해 Opengrep를 출시하기 위해 컨소시엄을 형성했습니다. 전통적으로 경쟁자였던 새로운 컨소시엄은 상업적 이익을 위해 기능을 제한하기로 결정했습니다. Endor Labs는 블로그 포스트에서 정적 코드 분석은 “제한하기에는 너무 중요하다”고 말했습니다.

그러나 Opengrep가 레거시 코드를 단순히 재포장하는 것인지, 아니면 완전히 새로운 솔루션을 제공하는지 아직 명확하지 않습니다.

오픈소스 대안의 부상

DeepSource는 개발자들이 레거시 제약을 물려받지 않는 도구가 필요하다는 점을 인식했습니다. “엔터프라이즈 고객들은 여러 도구를 사용하여 통합 문제를 해결하고 싶어하지 않습니다. 이것은 통합 문제를 만들고 모든 기능을 포함하는 솔루션을 요구합니다.” Sanket는 설명했습니다. “정적 분석은 코드 구조를 이해하는 데 중요한 역할을 하므로, 우리는 통합 플랫폼으로 пози션을 잡았습니다.”

그러나 DeepSource의 Globstar는 유일하지 않습니다. Semgrep 라이선스 논쟁 이후 여러 정적 코드 분석 대안이 인기를 얻었습니다. 예를 들어, SonarQube는 정적 코드 분석, 통합 지원 및 메트릭스 추적을 위한 무료 커뮤니티 에디션과 유료 버전을 제공하는 코드 분석 플랫폼입니다. 마찬가지로, ShellCheck는 쉘 스크립트를 분석하는 데 사용되는 또 다른 대안으로, 개발자들이 나중에 주요 버그 또는 비효율성을 유발할 수 있는 스크립팅 오류를 포착하는 데 도움이 됩니다. 이것은 명령어나 구문이 다른 쉘 환경에서 이식되지 않을 수 있음을 알립니다. 명령줄에서 실행되고 CI/CD 파이프라인에 쉽게 통합할 수 있는 쉬운 사용으로 인해 ShellCheck는 점점 더 인기 있는 선택이 되었습니다.

Opengrep는 레거시 도구의 오픈소스 루츠를 보존하려고 하지만, SonarQube, Globstar 및 ShellCheck와 같은 다른 대안은 새로운 솔루션을 제공합니다. 오픈소스 논쟁이 진행됨에 따라 개발자와 기업은 코드 분석의 풍경을 재정의할 수 있는 중요한 선택을 직면하게 됩니다.