Connect with us

Cybersikkerhet

Åpne kildealternativer midt i Semgrep-licenskontroversen

mm
Published
Updated

Sikkerhetsfellesskapet var vitne til en seismisk forandring i januar 2025, da rivaliserende selskaper slo seg sammen for å lansere Opengrep — en fork av verktøyet for statisk applikasjonssikkerhetstesting, Semgrep. En gang feiret for sin community-drevne åpne kilde-ethos, Semgrep antente kontrovers da det endret sin lisensmodell i desember 2024. Disse lisensendringene begrenset bruken av bidragsregler i kommersielle produkter og flyttet nøkelfunksjoner bak en betalingsmur.

Semgrep ble et essensielt verktøy for utviklere over hele verden på grunn av sin evne til å oppdage sårbarheter på tvers av flere programmeringsspråk. Imidlertid risikerer selskapets beslutning å kvæle innovasjon i et område som er avgjørende for moderne cybersikkerhet.

Midt i kontroversen lanserte DevSecOps-startup DeepSource Globstar, et nytt åpent kilde-verktøy for kode sikkerhet. Bygget fra bunnen av og utgitt under MIT-lisensen, sier Globstar at det har som mål å tilby ubegrenset kommersiell og full offentlig tilgang til sin kode.

“Gjennom Globstar tilbyr vi en fersk tilnærming til tilpasset statisk analyse, designet med sikkerhetsteams behov i mente. Det oppstod fra en intern ramme vi hadde utviklet for trusseldeteksjon”, Sanket Saurav, medstifter og CEO av DeepSource, fortalte meg. “Semgrep er allerede i dyktige hender, og vårt mål var å ta en distinkt vei. Vi ser på oss selv ikke som en erstatning, men en alternativ som bringer en ny perspektiv til rommet.”

Selskapet har samlet inn totalt 7,7 millioner dollar i finansiering og støttes for øyeblikket av Y-Combinator-investorer.

Utviklet ved hjelp av programmeringsspråket Go og integrert med Tree-sitter, støtter Globstar over 20 programmeringsspråk. Verktøyet har et intuitivt YAML-grensesnitt for å opprette tilpassede sikkerhetskontrollere og et avansert Go-grensesnitt for kompleks, tverrfil-analyse.

“Når et prosjekt forkas, tar det ofte en annen retning — men når det er begrenset til å bygge på toppen av en eksisterende produkt, kan innovasjon være begrenset”, sa Sanket. “Vi skapte et system som forenkler prosessen med å skrive tilpassede kodekontrollere.”

Forretningsnødvendighet versus åpen kilde-bevaring

Den 13. desember 2024, endret Semgrep sin lisensmodell for å begrense tredjepartsbruk av bidragsregler i konkurransekommersielle produkter uten godkjenning. I tillegg rebrandede selskapet sin åpne kilde-versjon til “Semgrep CE” (Community Edition). Semgrep hevder at lisensendringene er essensielle for å beskytte immaterielle rettigheter og sikre bærekraftig inntekt. Selskapet hevder at begrensning av kommersiell bruk hjelper til å hindre uautorisert gjenpakking og støtter langsiktig innovasjon.

“Når ingeniører skriver kode for å løse et problem, undersøker statisk analyse koden uten å kjøre den, og identifiserer mønster og potensielle problemer tidlig i utviklingsprosessen. Semgrep er en respektert spiller i dette rommet, og jeg holder dem i høy aktelse”, sa Sanket. “Imidlertid reflekterer deres skifte i lisensiering for kommersielle brukere en bredere realitet: VC-støttede selskaper må balansere åpne kilde-prinsipper med bærekraftige forretningsmodeller.”

Han bemerker at mens endringen ikke direkte påvirkte sluttbrukere, reiser det en pågående debatt om hvorvidt åpen kilde skal forbli helt ubegrenset eller utvikle seg for å sikre langsiktig levedyktighet.

I januar 2025 dannet 10 DevSec-firmaer, inkludert Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb og Orca Security, en konsortium for å lansere Opengrep. Tradisjonelt har disse konkurrentene vært harde, men det nye konsortiet planlegger å utfordre Semgrep sin beslutning om å begrense funksjonalitet til fordel for kommersiell gevinst. I en blogginnlegg sa Endor Labs at statisk kodeanalyse er “for viktig til å begrense”.

Imidlertid er det ennå ikke klart om Opengrep bare gjenpakker legacy-kode i stedet for å tilby en fullstendig ny løsning.

Oppblomstringen av åpne kilde-alternativer

DeepSource erkjente en voksende behov blant utviklere for et verktøy som ikke arver legacy-begrensninger. “Enterprise-kunder ønsker ikke å jonglere med flere verktøy — det skaper integrasjonsutfordringer og driver etterspørsel etter en all-i-én-løsning”, forklarte Sanket. “Statiske analyse spiller en avgjørende rolle i å forstå kodearkitektur, og derfor har vi posisjonert oss selv som en samlet plattform.”

Imidlertid er DeepSource sin Globstar ikke alene, flere statisk kodeanalyse-alternativer har fått oppmerksomhet etter Semgrep-lisenskontroversen. For eksempel er SonarQube en kodeanalyseplattform som tilbyr både en gratis Community Edition og betalte versjoner, for statisk kodeanalyse, integrasjonstøtte og metrikksporing. Liksom ShellCheck er et annet alternativ som brukes spesifikt til å analysere shell-skript, og hjelper utviklere med å fange skriptfeil som kan føre til større feil eller ineffektiviteter senere. Det markerer kommandoer eller syntaks som kanskje ikke er portable på tvers av forskjellige shell-miljøer. På grunn av sin enkelhet — evnen til å kjøre fra kommandolinjen og enkelt integrere i CI/CD-pipelines, har ShellCheck blitt et stadig mer populært valg.

Mens Opengrep søker å bevare en legacy-verktøys åpne røtter, tilbyr andre alternativer som SonarQube, Globstar og ShellCheck også en fersk, fremtidsrettede løsning. Etterhvert som den åpne kilde-debatten utvikler seg, står utviklere og bedrifter overfor avgjørende valg som kan omdefinere landskapet for kodeanalyse.

Related Topics:
mm

Victor Dey er en teknisk redaktør og forfatter som dekker A.I., crypto, data science, metaverse og cybersecurity innen bedriftsdomenet. Han har halvannen års erfaring med media og AI fra å jobbe i kjente mediehus som VentureBeat, Metaverse Post, Observer og andre. Victor har veiledet studentgründere i akseleratorprogrammer ved ledende universiteter, inkludert University of Oxford og University of Southern California, og har en mastergrad i data science og analytics.