Connect with us

Securitate cibernetică

Alternative Deschise În Contextul Controverselor Legate De Licențierea Semgrep

mm
Published
Updated

Comunitatea de securitate a asistat la o schimbare seismică în ianuarie 2025, când companii rivale s-au unit pentru a lansa Opengrep – o bifurcare a instrumentului de testare a securității aplicațiilor statice, Semgrep. Odată celebrată pentru etosul său deschis și comunitar, Semgrep a generat controverse atunci când și-a modificat modelul de licențiere în decembrie 2024. Aceste schimbări ale licențierii au restricționat utilizarea regulilor contribuite în produse comerciale și au mutat funcții cheie în spatele unui zid de plată.

Semgrep a devenit un instrument esențial pentru dezvoltatori din întreaga lume datorită capacității sale de a detecta vulnerabilități în multiple limbaje de programare. Cu toate acestea, decizia companiei riscă să sufocă inovația într-un domeniu vital pentru securitatea cibernetică modernă.

În mijlocul controversei, startup-ul DevSecOps DeepSource a lansat Globstar, un nou kit de instrumente deschis pentru securitatea codului. Construit de la zero și lansat sub licența MIT, Globstar afirmă că oferă acces comercial și public nelimitat la codul său.

“Prin Globstar, oferim o abordare proaspătă pentru analiza statică personalizată, concepută cu nevoile echipelor de securitate în minte. Acesta a apărut dintr-un cadru intern pe care l-am dezvoltat pentru detectarea amenințărilor”, a declarat Sanket Saurav, co-fondator și CEO al DeepSource, pentru mine. “Semgrep este deja în mâini capabile, iar scopul nostru a fost să urmăm un drum distinct. Ne vedem nu ca o înlocuire, ci ca o alternativă care aduce o perspectivă nouă în acest spațiu.”

Compania a strâns un total de 7,7 milioane de dolari în finanțare și este în prezent sprijinită de investitorii Y-Combinator.

Dezvoltat utilizând limbajul de programare Go și integrat cu Tree-sitter, Globstar suportă peste 20 de limbaje de programare. Kitul de instrumente are o interfață YAML intuitivă pentru crearea de verificatori de securitate personalizați și o interfață avansată Go pentru analiza complexă, cross-file.

“Când un proiect este bifurcat, el poate urma adesea o traiectorie diferită – dar atunci când este constrâns să se dezvolte pe baza unui produs existent, inovația poate fi limitată”, a spus Sanket. “Am creat un sistem care simplifică procesul de scriere a verificatorilor de cod personalizați.”

Necesitatea Comercială Versus Conservarea Surselor Deschise

La 13 decembrie 2024, Semgrep și-a revizuit modelul de licențiere pentru a restricționa utilizarea de către terți a regulilor contribuite în produse comerciale concurente fără autorizare. Mai mult, compania și-a rebranduit versiunea cu sursă deschisă în “Semgrep CE” (Ediția Comunitară). Semgrep afirmă că schimbările sale de licențiere sunt esențiale pentru a proteja proprietatea intelectuală și a asigura venituri durabile. Compania susține că restricționarea utilizării comerciale ajută la prevenirea ambalării neautorizate și sprijină inovația pe termen lung.

“Când inginerii scriu cod pentru a rezolva o problemă, analiza statică examinează codul fără a-l executa, identificând modele și posibile probleme de la începutul procesului de dezvoltare. Semgrep este un jucător respectat în acest spațiu, și îl respect în mod deosebit”, a spus Sanket. “Cu toate acestea, schimbarea lor de licențiere pentru utilizatorii comerciali reflectă o realitate mai largă: companiile sprijinite de capital de risc trebuie să echilibreze principiile surselor deschise cu modelele de afaceri durabile.”

El notează că, deși schimbarea nu a afectat direct utilizatorii finali, aceasta ridică un debat în curs despre dacă sursele deschise ar trebui să rămână complet nelimitate sau să evolueze pentru a asigura viabilitatea pe termen lung.

În ianuarie 2025, 10 firme DevSec, incluzând Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb și Orca Security, au format un consorțiu pentru a lansa Opengrep. Competitorii tradiționali, noul consorțiu plănuiește direct să conteste decizia Semgrep de a limita funcționalitatea în favoarea câștigului comercial. Într-un articol de blog, Endor Labs a afirmat că analiza statică a codului este “prea importantă pentru a fi restricționată”.

Cu toate acestea, nu este încă clar dacă Opengrep reambalează doar codul moștenit, în loc să ofere o soluție complet nouă.

Apariția Alternativelor Cu Sursă Deschisă

DeepSource a recunoscut o nevoie crescândă printre dezvoltatori pentru un instrument care nu moștenește constrângerile moștenite. “Clienții enterprise nu doresc să manipuleze multiple instrumente – ceea ce creează provocări de integrare și generează cerere pentru o soluție all-in-one”, a explicat Sanket. “Analiza statică joacă un rol crucial în înțelegerea arhitecturii codului, de aceea ne-am poziționat ca o platformă unificată.”

Cu toate acestea, Globstar al DeepSource nu este singur, deoarece mai multe alternative de analiză a codului static au câștigat popularitate după controversa legată de licențierea Semgrep. De exemplu, SonarQube este o platformă de analiză a codului care oferă atât o ediție comunitară gratuită, cât și versiuni plătite, pentru analiza codului static, suport de integrare și urmărire a metricilor. La fel, ShellCheck este o altă alternativă utilizată în special pentru analizarea scripturilor shell și ajută dezvoltatorii să prindă erorile de scriptare care ar putea duce mai târziu la bug-uri majore sau ineficiențe. Acesta semnalează comenzile sau sintaxa care nu poate fi portabilă în diferite medii shell. Din cauza ușurinței sale de utilizare – capacitatea de a rula din linia de comandă și de a se integra ușor în pipe-line-urile CI/CD, ShellCheck a devenit o alegere din ce în ce mai populară.

În timp ce Opengrep încearcă să păstreze rădăcinile deschise ale unui instrument moștenit, alte alternative precum SonarQube, Globstar și ShellCheck oferă și o soluție proaspătă și orientată spre viitor. Pe măsură ce debatul despre sursele deschise se desfășoară, dezvoltatorii și întreprinderile se confruntă cu alegeri cruciale care ar putea redesena peisajul analizei codului.

Related Topics:
mm

Victor Dey este un editor și scriitor tech care acoperă A.I., crypto, știința datelor, metaverse și securitatea cibernetică în domeniul întreprinderilor. El are o experiență de jumătate de deceniu în mass-media și inteligență artificială, lucrând la publicații media cunoscute precum VentureBeat, Metaverse Post, Observer și altele. Victor a mentorat fondatori studenți în programe de accelerare la universități de top, inclusiv Universitatea Oxford și Universitatea din California de Sud, și deține o diplomă de master în știința și analiza datelor.