Alternativas de código aberto em meio à controvérsia sobre o licenciamento do Semgrep

A comunidade de segurança testemunhou uma mudança sísmica em janeiro de 2025, quando empresas rivais se uniram para lançar Opengrep—um fork da ferramenta de teste de segurança de aplicativos estáticos, Semgrep. Uma vez celebrado por seu ethos de código aberto voltado para a comunidade, Semgrep gerou polêmica quando alterou seu modelo de licenciamento em dezembro de 2024. Essas mudanças de licenciamento restringiram o uso de regras contribuídas em produtos comerciais e mudaram os principais recursos para um paywall.

O Semgrep se tornou uma ferramenta essencial para desenvolvedores no mundo todo devido à sua capacidade de detectar vulnerabilidades em várias linguagens de programação. No entanto, a decisão da empresa corre o risco de sufocar a inovação em uma área vital para a segurança cibernética moderna.

Em meio à controvérsia, a startup DevSecOps DeepSource lançou Estrela Glob, um novo kit de ferramentas de código aberto para segurança de código. Construído do zero e lançado sob a licença MIT, a Globstar diz que visa fornecer acesso comercial irrestrito e acesso público total ao seu código.

“Por meio da Globstar, estamos oferecendo uma nova abordagem para análise estática personalizada, projetada com as necessidades das equipes de segurança em mente. Ela surgiu de uma estrutura interna que desenvolvemos para detecção de ameaças,” Sanket Saurav, co-fundador e CEO da Fonte profunda, me disse. “O Semgrep já está em mãos capazes, e nossa meta era tomar um caminho distinto. Não nos vemos como um substituto, mas como uma alternativa que traz uma nova perspectiva para o espaço.”

A empresa levantou um total de US$ 7.7 milhões em financiamento e atualmente está sendo apoiada por investidores da Y-Combinator.

Desenvolvido utilizando a linguagem de programação Go e integrado com o Tree-sitter, o Globstar suporta mais de 20 linguagens de programação. O kit de ferramentas apresenta uma interface YAML intuitiva para criar verificadores de segurança personalizados e uma interface Go avançada para análise complexa entre arquivos.

“Quando um projeto é bifurcado, ele frequentemente toma uma trajetória diferente — mas quando limitado a construir em cima de um produto existente, a inovação pode ser limitada”, disse Sanket. “Criamos um sistema que simplifica o processo de escrever verificadores de código personalizados.”

Necessidade de negócios versus preservação de código aberto

Em 13 de dezembro de 2024, a Semgrep reformulou seu modelo de licenciamento para restringir o uso de regras contribuídas por terceiros em produtos comerciais concorrentes sem autorização. Além disso, a empresa renomeou sua versão de código aberto para “Semgrep CE” (Community Edition). A Semgrep alega que suas mudanças de licenciamento são essenciais para proteger a propriedade intelectual e garantir receita sustentável. A empresa afirma que restringir o uso comercial ajuda a conter o reempacotamento não autorizado e apoia a inovação de longo prazo.

“Quando engenheiros escrevem código para resolver um problema, a análise estática examina o código sem execução, identificando padrões e problemas potenciais no início do processo de desenvolvimento. A Semgrep é uma empresa respeitada neste espaço, e eu a tenho em alta conta”, disse Sanket. “No entanto, sua mudança no licenciamento para usuários comerciais reflete uma realidade mais ampla: empresas apoiadas por VC devem equilibrar princípios de código aberto com modelos de negócios sustentáveis.”

Ele observa que, embora a mudança não tenha impactado diretamente os usuários finais, ela levanta um debate contínuo sobre se o código aberto deve permanecer totalmente irrestrito ou evoluir para garantir viabilidade a longo prazo.

Em janeiro de 2025, 10 empresas de DevSec, incluindo Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb e Orca Security, formaram um consórcio para lançar o Opengrep. Tradicionalmente concorrentes ferozes, o novo consórcio planeja desafiar diretamente a decisão da Semgrep de limitar a funcionalidade em favor do ganho comercial. Em um no blogA Endor Labs declarou que a análise de código estático é “importante demais para ser restringida”.

Entretanto, ainda não está claro se o Opengrep apenas reempacota código legado em vez de oferecer uma solução completamente nova.

A ascensão das alternativas de código aberto 

A DeepSource reconheceu uma necessidade crescente entre os desenvolvedores por uma ferramenta que não herde restrições legadas. “Os clientes corporativos não querem fazer malabarismos com várias ferramentas — isso cria desafios de integração e impulsiona a demanda por uma solução completa”, explicou Sanket. “A análise estática desempenha um papel crucial na compreensão da arquitetura do código, e é por isso que nos posicionamos como uma plataforma unificada.”

No entanto, o Globstar da DeepSource não está sozinho, várias alternativas de análise de código estático ganharam força após a controvérsia de licenciamento do Semgrep. Por exemplo, o SonarQube é uma plataforma de análise de código que oferece uma Community Edition gratuita e versões pagas, para análise de código estático, suporte de integração e rastreamento de métricas. Da mesma forma, o ShellCheck é outra alternativa usada especificamente para analisar scripts de shell e auxilia os desenvolvedores a capturar erros de script que podem levar a grandes bugs ou ineficiências. Ele sinaliza comandos ou sintaxe que podem não ser portáteis em diferentes ambientes de shell. Devido à sua facilidade de uso — capacidade de executar a partir da linha de comando e integrar-se facilmente em pipelines de CI/CD, o ShellCheck se tornou uma escolha cada vez mais popular.

Enquanto o Opengrep busca preservar as raízes abertas de uma ferramenta legada, outras alternativas como SonarQube, Globstar e ShellCheck também oferecem uma solução nova e com visão de futuro. À medida que o debate sobre código aberto se desenrola, desenvolvedores e empresas enfrentam escolhas cruciais que podem redefinir o cenário da análise de código.