Conectează-te cu noi

Securitate Cibernetică

Alternative open-source pe fondul controversei privind licențele Semgrep

mm
Publicat

Comunitatea de securitate a asistat la o schimbare seismică în ianuarie 2025, când companiile rivale s-au unit pentru a lansa Opengrep—un furk al instrumentului de testare a securității aplicațiilor statice, Semgrep. Odată celebrat pentru etosul său open-source condus de comunitate, Semgrep a declanșat controverse atunci când și-a modificat modelul de licențiere în decembrie 2024. Aceste modificări de licențiere au restricționat utilizarea regulilor contribuite în produsele comerciale și au schimbat caracteristicile cheie în spatele unui paywall.

Semgrep a devenit un instrument esențial pentru dezvoltatorii din întreaga lume datorită capacității sale de a detecta vulnerabilități în mai multe limbaje de programare. Cu toate acestea, decizia companiei riscă să înăbușe inovația într-un domeniu vital pentru securitatea cibernetică modernă.

Pe fondul controversei, a lansat startup-ul DevSecOps DeepSource Globstar, un nou set de instrumente open-source pentru securitatea codului. Construit de la zero și lansat sub licența MIT, Globstar spune că își propune să ofere acces comercial nerestricționat și public complet la codul său.

„Prin Globstar, oferim o nouă abordare a analizei statice personalizate, concepută având în vedere nevoile echipelor de securitate. A apărut dintr-un cadru intern pe care l-am dezvoltat pentru detectarea amenințărilor.” Sanket Saurav, cofondator și CEO al DeepSource, mi-a spus. „Semgrep este deja în mâini capabile, iar scopul nostru a fost să luăm o cale distinctă. Ne vedem pe noi înșine nu ca un înlocuitor, ci o alternativă care aduce o nouă perspectivă spațiului.”

Compania a strâns un total de 7.7 milioane USD în finanțare și este în prezent susținută de investitorii Y-Combinator.

Dezvoltat folosind limbajul de programare Go și integrat cu Tree-sitter, Globstar acceptă peste 20 de limbaje de programare. Setul de instrumente oferă o interfață YAML intuitivă pentru crearea de verificări de securitate personalizate și o interfață avansată Go pentru analize complexe, încrucișate.

„Când un proiect este bifurcat, este adesea nevoie de o traiectorie diferită, dar atunci când este constrâns să construiască peste un produs existent, inovația poate fi limitată”, a spus Sanket. „Am creat un sistem care simplifică procesul de scriere a verificatoarelor de cod personalizate.”

Necesitatea afacerilor versus conservarea open-source

La 13 decembrie 2024, Semgrep și-a reînnoit modelul de licențiere pentru a restricționa utilizarea de către terți a regulilor contribuite în produsele comerciale concurente fără autorizație. Mai mult, compania și-a redenumit versiunea open-source la „Semgrep CE” (Ediția comunitară). Semgrep susține că modificările sale de licențiere sunt esențiale pentru a proteja proprietatea intelectuală și pentru a asigura venituri durabile. Compania susține că restricționarea utilizării comerciale ajută la limitarea reambalării neautorizate și sprijină inovația pe termen lung.

„Când inginerii scriu cod pentru a rezolva o problemă, analiza statică examinează codul fără execuție, identificând modele și probleme potențiale la începutul procesului de dezvoltare, Semgrep este un jucător respectat în acest spațiu și îi țin în mare atenție”, a spus Sanket. „Cu toate acestea, schimbarea lor în acordarea de licențe pentru utilizatorii comerciali reflectă o realitate mai largă: companiile susținute de VC trebuie să echilibreze principiile open-source cu modele de afaceri durabile.”

El observă că, deși schimbarea nu a afectat în mod direct utilizatorii finali, ea provoacă o dezbatere continuă despre dacă open source ar trebui să rămână complet nerestricționat sau să evolueze pentru a asigura viabilitatea pe termen lung.

În ianuarie 2025, 10 firme DevSec, inclusiv Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb și Orca Security — au format un consorțiu pentru a lansa Opengrep. Concurenți în mod tradițional feroce, noul consorțiu intenționează direct să conteste decizia Semgrep de a limita funcționalitatea în favoarea câștigului comercial. Într-o blog, Endor Labs a declarat că analiza codului static este „prea importantă pentru a fi restricționată”.

Cu toate acestea, nu este încă clar dacă Opengrep doar reîmpachetează codul vechi, în loc să ofere o soluție complet nouă.

Creșterea alternativelor open-source 

DeepSource a recunoscut o nevoie tot mai mare în rândul dezvoltatorilor de un instrument care să nu moștenească constrângerile moștenite. „Clienții întreprinderi nu doresc să jongleze cu mai multe instrumente – creează provocări de integrare și stimulează cererea pentru o soluție all-in-one”, a explicat Sanket. „Analiza statică joacă un rol crucial în înțelegerea arhitecturii codului, motiv pentru care ne-am poziționat ca o platformă unificată.”

Cu toate acestea, Globstar de la DeepSource nu este singurul, mai multe alternative de analiză statică a codului au câștigat acțiune în urma controversei privind licențele Semgrep. De exemplu, SonarQube este o platformă de analiză a codului care oferă atât o ediție gratuită pentru comunitate, cât și versiuni plătite, pentru analiza statică a codului, suport pentru integrare și urmărirea valorilor. De asemenea, ShellCheck este o altă alternativă utilizată în mod special pentru analiza scripturilor shell și ajută dezvoltatorii să detecteze erorile de scriptare care ar putea duce ulterior la erori majore sau ineficiențe. Semnalizează comenzile sau sintaxa care ar putea să nu fie portabile în diferite medii shell. Datorită ușurinței sale de utilizare - capacitatea de a rula din linia de comandă și de a se integra cu ușurință în conductele CI/CD, ShellCheck a devenit o alegere din ce în ce mai populară.

În timp ce Opengrep încearcă să păstreze rădăcinile deschise ale unui instrument moștenit, alte alternative precum SonarQube, Globstar și ShellCheck oferă, de asemenea, o soluție proaspătă, cu gândire de viitor. Pe măsură ce dezbaterea open-source se desfășoară, dezvoltatorii și întreprinderile se confruntă cu alegeri esențiale care pot redefini peisajul analizei codului.

Subiecte asemănătoare:
mm

Victor Dey este un editor și scriitor tehnologic care acoperă AI, cripto, știința datelor, metaverse și securitatea cibernetică în domeniul întreprinderilor. Se mândrește cu o jumătate de deceniu de experiență în mass-media și inteligență artificială, lucrând la instituții media cunoscute, cum ar fi VentureBeat, Metaverse Post, Observer și altele. Victor a îndrumat studenți fondatori la programe de accelerare la universități de top, inclusiv Universitatea din Oxford și Universitatea din California de Sud, și deține o diplomă de master în știința datelor și analitică.