Cyberbeveiliging
Open-Source Alternatieven Tijdens Semgrep Licentiecontroversie
De beveiligingsgemeenschap zag in januari 2025 een seismische verschuiving, toen concurrerende bedrijven zich verenigden om Opengrep te lanceren – een fork van het statische applicatiebeveiligingstool, Semgrep. Eens gevierd vanwege zijn community-gedreven open-source-ethos, zette Semgrep controverse in gang toen het zijn licentiemodel in december 2024 wijzigde. Deze licentiewijzigingen beperkten het gebruik van bijgedragen regels in commerciële producten en verplaatsten belangrijke functies achter een betaalmuur.
Semgrep werd een essentieel instrument voor ontwikkelaars over de hele wereld vanwege zijn vermogen om kwetsbaarheden te detecteren in meerdere programmeertalen. Het besluit van het bedrijf riskeert echter innovatie te smoren in een gebied dat essentieel is voor de moderne cybersecurity.
Tijdens de controverse lanceerde DevSecOps-startup DeepSource Globstar, een nieuwe open-source-toolkit voor codebeveiliging. Van scratch gebouwd en uitgegeven onder de MIT-licentie, stelt Globstar dat het onbeperkte commerciële en volledige openbare toegang tot zijn code biedt.
“Met Globstar bieden we een frisse benadering van aangepaste statische analyse, ontworpen met het oog op de behoeften van beveiligingsteams. Het is ontstaan uit een intern kader dat we hadden ontwikkeld voor bedreigingsdetectie”, zei Sanket Saurav, mede-oprichter en CEO van DeepSource, tegen mij. “Semgrep is al in capabele handen, en ons doel was om een andere weg te bewandelen. We zien onszelf niet als een vervanging, maar als een alternatief dat een nieuwe perspectief op de ruimte biedt.”
Het bedrijf heeft in totaal 7,7 miljoen dollar aan financiering opgehaald en wordt momenteel gesteund door Y-Combinator-investeerders.
Ontwikkeld met behulp van de Go-programmeertaal en geïntegreerd met Tree-sitter, ondersteunt Globstar meer dan 20 programmeertalen. De toolkit heeft een intuïtieve YAML-interface voor het maken van aangepaste beveiligingscontroles en een geavanceerde Go-interface voor complexe, cross-file-analyse.
“Wanneer een project wordt geforkt, neemt het vaak een andere traject – maar wanneer het wordt beperkt tot het bouwen op een bestaand product, kan innovatie worden beperkt”, zei Sanket. “We hebben een systeem gecreëerd dat het proces van het schrijven van aangepaste code-controles vereenvoudigt.”
Bedrijfsnoodzaak versus Open-Source-Behoud
Op 13 december 2024, herschreef Semgrep zijn licentiemodel om het gebruik van bijgedragen regels in concurrerende commerciële producten zonder autorisatie te beperken. Bovendien heeft het bedrijf zijn open-source-versie omgedoopt tot “Semgrep CE” (Community Edition). Semgrep beweert dat zijn licentiewijzigingen essentieel zijn om intellectueel eigendom te beschermen en duurzame inkomsten te garanderen. Het bedrijf stelt dat het beperken van commercieel gebruik helpt om ongeautoriseerde herverpakking te voorkomen en langetermijninnovatie te ondersteunen.
“Wanneer ingenieurs code schrijven om een probleem op te lossen, onderzoekt statische analyse de code zonder uitvoering, patronen en potentiële problemen vroeg in het ontwikkelproces identificerend. Semgrep is een gerespecteerd speler in deze ruimte, en ik heb veel respect voor hen”, zei Sanket. “Echter, hun verschuiving in licentie voor commerciële gebruikers weerspiegelt een bredere realiteit: VC-gefinancierde bedrijven moeten open-source-principes in evenwicht brengen met duurzame bedrijfsmodellen.”
Hij merkt op dat, hoewel de verandering geen directe invloed had op eindgebruikers, het een voortdurende discussie opwerpt over of open source volledig onbeperkt moet blijven of moet evolueren om langetermijnlevensvatbaarheid te garanderen.
In januari 2025 vormden 10 DevSec-firma’s, waaronder Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb en Orca Security, een consortium om Opengrep te lanceren. Traditioneel waren deze concurrerende bedrijven, maar het nieuwe consortium plant om Semgrep’s beslissing om functionaliteit te beperken ten gunste van commercieel gewin, rechtstreeks uit te dagen. In een blogpost stelde Endor Labs dat statische code-analyse “te belangrijk is om te beperken”.
Het is echter nog niet duidelijk of Opengrep oude code alleen maar opnieuw verpakt in plaats van een volledig nieuwe oplossing te bieden.
De Opkomst van Open-Source-Alternatieven
DeepSource herkende een groeiende behoefte onder ontwikkelaars aan een instrument dat geen legacy-beperkingen erfde. “Enterprise-klanten willen geen meerdere instrumenten hanteren – het creëert integratie-uitdagingen en drijft de vraag naar een alles-in-één-oplossing”, legde Sanket uit. “Statische analyse speelt een cruciale rol bij het begrijpen van code-architectuur, en dat is waarom we onszelf hebben gepositioneerd als een geïntegreerde platform.”
Echter, DeepSource’s Globstar is niet alleen, verschillende statische code-analysealternatieven hebben aan populariteit gewonnen na de Semgrep-licentiecontroversie. Zo is SonarQube een code-analyseplatform dat zowel een gratis Community Edition als betaalde versies biedt voor statische code-analyse, integratiesupport en metrieken. Evenzo is ShellCheck een andere alternatief dat specifiek wordt gebruikt voor het analyseren van shell-scripts en helpt ontwikkelaars bij het opvangen van scriptfouten die later tot grote bugs of inefficiënties kunnen leiden. Het markeert opdrachten of syntaxis die mogelijk niet overdraagbaar zijn naar verschillende shell-omgevingen. Vanwege zijn eenvoudige gebruik – de mogelijkheid om vanaf de opdrachtregel te draaien en gemakkelijk te integreren in CI/CD-pijplijnen, is ShellCheck een steeds populairdere keuze geworden.
Terwijl Opengrep probeert de open-source-wortels van een legacy-instrument te behouden, bieden andere alternatieven zoals SonarQube, Globstar en ShellCheck ook een frisse, vooruitstrevende oplossing. Naarmate de open-source-debat zich ontvouwt, staan ontwikkelaars en ondernemingen voor cruciale keuzes die het landschap van code-analyse kunnen herdefiniëren.
