Otwarte alternatywy w związku z kontrowersją wokół licencjonowania Semgrep

Społeczność związana z bezpieczeństwem była świadkiem znaczącej zmiany w styczniu 2025 roku, kiedy rywalizujące firmy połączyły się, aby uruchomić Opengrep – fork narzędzia do testowania bezpieczeństwa aplikacji, Semgrep. Dawniej celebrowany za swoje otwarte i wspólnotowe podejście do oprogramowania open-source, Semgrep wywołał kontrowersję, gdy zmienił swój model licencjonowania w grudniu 2024 roku. Te zmiany licencyjne ograniczyły użycie przyczynionych reguł w komercyjnych produktach i przeniosły kluczowe funkcje za paywall.

Semgrep stał się niezwykle ważnym narzędziem dla deweloperów na całym świecie dzięki swojej zdolności do wykrywania luk w zabezpieczeniach w wielu językach programowania. Jednak decyzja firmy zagraża zahamowaniu innowacji w obszarze, który jest niezwykle istotny dla nowoczesnego bezpieczeństwa cybernetycznego.

W związku z kontrowersją, startup DevSecOps DeepSource uruchomił Globstar, nowy zestaw narzędzi open-source do bezpieczeństwa kodu. Zbudowany od podstaw i wydany na licencji MIT, Globstar deklaruje, że jego celem jest zapewnienie nieograniczonego dostępu komercyjnego i pełnego dostępu publicznego do swojego kodu.

“Poprzez Globstar, oferujemy nowe podejście do niestatycznej analizy, zaprojektowane z myślą o potrzebach zespołów bezpieczeństwa. Wyłoniło się ono z wewnętrznej ramy, którą opracowaliśmy do wykrywania zagrożeń”, Sanket Saurav, współzałożyciel i CEO DeepSource, powiedział mi. „Semgrep jest już w dobrych rękach, a naszym celem było podążanie odrębną ścieżką. Widzimy siebie nie jako zamiennik, ale jako alternatywę, która wnosi nową perspektywę do tego obszaru”.

Firma zebrała łącznie 7,7 miliona dolarów w ramach finansowania i obecnie jest wspierana przez inwestorów Y-Combinator.

Zbudowany z użyciem języka programowania Go i zintegrowany z Tree-sitter, Globstar obsługuje ponad 20 języków programowania. Zestaw narzędzi posiada intuicyjny interfejs YAML do tworzenia niestandardowych sprawdzaczy bezpieczeństwa oraz zaawansowany interfejs Go do złożonej, międzyplikowej analizy.

„Kiedy projekt jest forkowany, często przyjmuje odmienną trajektorię – ale kiedy jest ograniczony do budowania na istniejącym produkcie, innowacje mogą być ograniczone”, powiedział Sanket. „Stworzyliśmy system, który upraszcza proces tworzenia niestandardowych sprawdzaczy kodu”.

Konieczność biznesowa a ochrona oprogramowania open-source

13 grudnia 2024 roku Semgrep zmienił swój model licencjonowania, aby ograniczyć użycie reguł przyczynionych przez strony trzecie w komercyjnych produktach bez autoryzacji. Ponadto firma przemianowała swoją wersję open-source na “Semgrep CE” (Community Edition). Semgrep twierdzi, że zmiany licencyjne są niezbędne do ochrony własności intelektualnej i zapewnienia zrównoważonego przychodu. Firma utrzymuje, że ograniczanie komercyjnego użycia pomaga powstrzymać nieautoryzowane ponowne pakowanie i wspiera długoterminowe innowacje.

„Kiedy inżynierowie piszą kod, aby rozwiązać problem, analiza statyczna sprawdza kod bez wykonania, identyfikując wzorce i potencjalne problemy na wczesnym etapie rozwoju. Semgrep jest szanowanym graczem w tym obszarze, i darzę go wielkim szacunkiem”, powiedział Sanket. „Jednak ich zmiana licencjonowania dla użytkowników komercyjnych odzwierciedla szerszą rzeczywistość: firmy wspierane przez VC muszą balansować między zasadami oprogramowania open-source a zrównoważonymi modelami biznesowymi”.

Zauważa, że chociaż zmiana nie miała bezpośredniego wpływu na użytkowników końcowych, podnosi ona trwającą debatę na temat tego, czy oprogramowanie open-source powinno pozostać całkowicie nieograniczone, czy ewoluować, aby zapewnić długoterminową żywotność.

W styczniu 2025 roku 10 firm DevSec, w tym Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb i Orca Security, utworzyło konsorcjum w celu uruchomienia Opengrep. Tradycyjnie zaciekle rywalizujące, nowe konsorcjum bezpośrednio planuje wyzwać decyzję Semgrep o ograniczeniu funkcjonalności na rzecz zysku komercyjnego. W poście na blogu, Endor Labs stwierdziło, że analiza kodu statycznego jest „zbyt ważna, aby ją ograniczać”.

Jednak nie jest jeszcze jasne, czy Opengrep po prostu ponownie pakuje legacy kod, zamiast oferować całkowicie nowe rozwiązanie.

Wzrost alternatyw open-source

DeepSource rozpoznał rosnącą potrzebę wśród deweloperów narzędzia, które nie dziedziczy ograniczeń legacy. „Klienci przedsiębiorstw nie chcą marnować czasu na wiele narzędzi – tworzy to wyzwania integracyjne i popycha popyt na rozwiązanie all-in-one”, wyjaśnił Sanket. „Analiza statyczna odgrywa kluczową rolę w zrozumieniu architektury kodu, dlatego też umieściliśmy się jako zjednoczona platforma”.

Jednak DeepSource’s Globstar nie jest samodzielny, kilka alternatywnych narzędzi do analizy kodu statycznego zyskało na popularności po kontrowersji wokół licencjonowania Semgrep. Na przykład, SonarQube to platforma do analizy kodu, która oferuje zarówno bezpłatną wersję Community Edition, jak i wersje płatne, do analizy kodu statycznego, obsługi integracji i śledzenia metryk. Podobnie, ShellCheck to kolejna alternatywa, specjalnie używana do analizy skryptów powłoki, i pomaga deweloperom w wyłapywaniu błędów skryptowych, które mogą później prowadzić do dużych błędów lub niewydajności. Flaguje polecenia lub składnię, które mogą nie być przenośne w różnych środowiskach powłoki. Ze względu na swoją łatwość użycia – możliwość uruchomienia z linii poleceń i łatwą integrację z potokami CI/CD, ShellCheck stał się coraz popularniejszym wyborem.

Podczas gdy Opengrep dąży do zachowania otwartych korzeni legacy narzędzia, inne alternatywy, takie jak SonarQube, Globstar i ShellCheck, oferują również świeże, przyszłościowe rozwiązanie. Podczas gdy debata na temat oprogramowania open-source się rozgrywa, deweloperzy i przedsiębiorstwa stają przed kluczowymi wyborami, które mogą zdefiniować krajobraz analizy kodu.