Alternativas de Código Aberto em Meio à Controvérsia sobre Licenciamento do Semgrep

A comunidade de segurança testemunhou uma mudança sísmica em janeiro de 2025, quando empresas rivais se uniram para lançar Opengrep — um fork da ferramenta de teste de segurança de aplicativos estáticos, Semgrep. Uma vez celebrada por sua ética de código aberto orientada pela comunidade, Semgrep inflamou a controvérsia quando alterou seu modelo de licenciamento em dezembro de 2024. Essas alterações de licenciamento restringiram o uso de regras contribuídas em produtos comerciais e transferiram recursos-chave para trás de um paywall.

Semgrep se tornou uma ferramenta essencial para desenvolvedores em todo o mundo devido à sua capacidade de detectar vulnerabilidades em várias linguagens de programação. No entanto, a decisão da empresa corre o risco de sufocar a inovação em uma área vital para a cibersegurança moderna.

Em meio à controvérsia, a startup DevSecOps DeepSource lançou Globstar, uma nova ferramenta de código aberto para segurança de código. Construída do zero e lançada sob a licença MIT, Globstar afirma que visa fornecer acesso comercial e público irrestrito ao seu código.

“Por meio do Globstar, estamos oferecendo uma abordagem fresca para análise estática personalizada, projetada com as necessidades das equipes de segurança em mente. Ela surgiu de um framework interno que desenvolvemos para detecção de ameaças”, Sanket Saurav, co-fundador e CEO da DeepSource, me disse. “Semgrep já está em mãos capazes, e nosso objetivo era tomar um caminho distinto. Não nos vemos como uma substituição, mas como uma alternativa que traz uma nova perspectiva para o espaço”.

A empresa levantou um total de $7,7M em financiamento e atualmente é apoiada por investidores da Y-Combinator.

Desenvolvida utilizando a linguagem de programação Go e integrada ao Tree-sitter, Globstar suporta mais de 20 linguagens de programação. A ferramenta apresenta uma interface YAML intuitiva para criar verificadores de segurança personalizados e uma interface Go avançada para análise complexa e transversal de arquivos.

“Quando um projeto é bifurcado, ele muitas vezes toma uma trajetória diferente — mas quando é limitado a construir sobre um produto existente, a inovação pode ser limitada”, disse Sanket. “Criamos um sistema que simplifica o processo de escrever verificadores de código personalizados”.

Necessidade Comercial versus Preservação de Código Aberto

Em 13 de dezembro de 2024, Semgrep reviu seu modelo de licenciamento para restringir o uso de terceiros de regras contribuídas em produtos comerciais concorrentes sem autorização. Além disso, a empresa rebrandou sua versão de código aberto para “Semgrep CE” (Edição Comunitária). Semgrep afirma que suas alterações de licenciamento são essenciais para proteger a propriedade intelectual e garantir receita sustentável. A empresa defende que restringir o uso comercial ajuda a prevenir o reembalagem não autorizado e apoia a inovação de longo prazo.

“Quando os engenheiros escrevem código para resolver um problema, a análise estática examina o código sem execução, identificando padrões e problemas potenciais no início do processo de desenvolvimento. Semgrep é um jogador respeitado nesse espaço, e eu os tenho em alta consideração”, disse Sanket. “No entanto, sua mudança de licenciamento para usuários comerciais reflete uma realidade mais ampla: as empresas apoiadas por VC devem equilibrar os princípios de código aberto com modelos de negócios sustentáveis”.

Ele observa que, embora a mudança não tenha impactado diretamente os usuários finais, ela levanta um debate contínuo sobre se o código aberto deve permanecer completamente irrestrito ou evoluir para garantir a viabilidade de longo prazo.

Em janeiro de 2025, 10 empresas DevSec, incluindo Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb e Orca Security — formaram um consórcio para lançar Opengrep. Tradicionalmente, concorrentes ferozes, o novo consórcio planeja desafiar diretamente a decisão da Semgrep de limitar a funcionalidade em favor do lucro comercial. Em um post de blog, Endor Labs afirmou que a análise de código estático é “muito importante para restringir”.

No entanto, ainda não está claro se Opengrep repagina apenas o código legado em vez de oferecer uma solução completamente nova.

O Surgimento de Alternativas de Código Aberto

DeepSource reconheceu uma necessidade crescente entre os desenvolvedores por uma ferramenta que não herda restrições legadas. “Os clientes empresariais não querem lidar com várias ferramentas — isso cria desafios de integração e impulsiona a demanda por uma solução all-in-one”, explicou Sanket. “A análise estática desempenha um papel crucial na compreensão da arquitetura do código, é por isso que nos posicionamos como uma plataforma unificada”.

No entanto, Globstar da DeepSource não está sozinho, várias alternativas de análise de código estático ganharam tração após a controvérsia sobre o licenciamento do Semgrep. Por exemplo, SonarQube é uma plataforma de análise de código que oferece tanto uma Edição Comunitária gratuita quanto versões pagas para análise de código estático, suporte à integração e rastreamento de métricas. Da mesma forma, ShellCheck é outra alternativa usada especificamente para analisar scripts de shell e ajuda os desenvolvedores a capturar erros de script que poderiam mais tarde levar a bugs ou ineficiências importantes. Ele sinaliza comandos ou sintaxe que podem não ser portáteis em diferentes ambientes de shell. Devido à sua facilidade de uso — capacidade de executar a partir da linha de comando e integrar facilmente a pipelines de CI/CD, ShellCheck se tornou uma escolha cada vez mais popular.

Enquanto Opengrep busca preservar as raízes de código aberto de uma ferramenta legada, outras alternativas como SonarQube, Globstar e ShellCheck também oferecem uma solução fresca e inovadora. À medida que o debate sobre o código aberto se desenrola, os desenvolvedores e as empresas enfrentam escolhas cruciais que podem redefinir o cenário da análise de código.