Открытые альтернативы на фоне скандала с лицензированием Semgrep

Сообщество безопасности стало свидетелем значительного сдвига в январе 2025 года, когда конкурирующие компании объединились, чтобы запустить Opengrep — форк инструмента статического анализа безопасности приложений Semgrep. Ранее Semgrep был известен своей общинно-ориентированной открытой моделью, но вызвал скандал, когда изменил свою модель лицензирования в декабре 2024 года. Эти изменения ограничили использование вносимых правил в коммерческих продуктах и переместили ключевые функции за платную стену.

Semgrep стал важным инструментом для разработчиков во всем мире благодаря своей способности обнаруживать уязвимости в нескольких языках программирования. Однако решение компании рискует задушить инновации в области, важной для современной кибербезопасности.

На фоне скандала стартап DevSecOps DeepSource запустил Globstar, новый открытый инструментарий для безопасности кода. Созданный с нуля и выпущенный под лицензией MIT, Globstar заявляет, что он предоставляет неограниченный коммерческий и полный публичный доступ к своему коду.

“Через Globstar мы предлагаем свежий подход к настраиваемому статическому анализу, разработанному с учетом потребностей команд безопасности. Он возник из внутренней структуры, которую мы разработали для обнаружения угроз”, — рассказал мне Sanket Saurav, сооснователь и генеральный директор DeepSource. “Semgrep уже находится в надежных руках, и наша цель была пройти особый путь. Мы видим себя не как замену, а как альтернативу, которая приносит новый взгляд в эту область.”

Компания привлекла в общей сложности 7,7 миллионов долларов финансирования и в настоящее время поддерживается инвесторами Y-Combinator.

Разработанный с использованием языка программирования Go и интегрированный с Tree-sitter, Globstar поддерживает более 20 языков программирования. Инструментарий имеет интуитивно понятный интерфейс YAML для создания настраиваемых проверок безопасности и продвинутый интерфейс Go для сложного, межфайлового анализа.

“Когда проект форкается, он часто принимает другой путь — но когда ограничен построением на основе существующего продукта, инновации могут быть ограничены”, — сказал Санкет. “Мы создали систему, которая упрощает процесс написания настраиваемых проверок кода.”

Деловая необходимость против сохранения открытого исходного кода

13 декабря 2024 года Semgrep изменил свою модель лицензирования, чтобы ограничить использование третьими сторонами вносимых правил в конкурирующих коммерческих продуктах без разрешения. Кроме того, компания ребрендировала свою открытую версию как “Semgrep CE” (Community Edition). Semgrep утверждает, что изменения в лицензировании необходимы для защиты интеллектуальной собственности и обеспечения устойчивого дохода. Компания считает, что ограничение коммерческого использования помогает предотвратить неавторизованное перепаковывание и поддерживает долгосрочные инновации.

“Когда инженеры пишут код для решения проблемы, статический анализ проверяет код без выполнения, выявляя закономерности и потенциальные проблемы на ранней стадии разработки. Semgrep — уважаемый игрок в этой области, и я отношусь к ним с большим уважением”, — сказал Санкет. “Однако их сдвиг в лицензировании для коммерческих пользователей отражает более широкую реальность: компании, поддерживаемые венчурным капиталом, должны балансировать открытые принципы с устойчивыми бизнес-моделями.”

Он отмечает, что хотя это изменение не повлияло напрямую на конечных пользователей, оно вызывает продолжающийся спор о том, должен ли открытый исходный код оставаться полностью неограниченным или эволюционировать, чтобы обеспечить долгосрочную жизнеспособность.

В январе 2025 года 10 компаний DevSec, включая Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb и Orca Security, сформировали консорциум для запуска Opengrep. Традиционно яростные конкуренты, новый консорциум напрямую планирует бросить вызов решению Semgrep ограничить функциональность в пользу коммерческой выгоды. В блог-посте Endor Labs заявило, что статический анализ кода “слишком важен, чтобы ограничивать”.

Однако пока неясно, просто ли Opengrep перепаковывает устаревший код, а не предлагает совершенно новое решение.

Рост открытых альтернатив

DeepSource признал растущую потребность среди разработчиков в инструменте, который не наследует ограничения наследия. “Корпоративные клиенты не хотят иметь дело с множеством инструментов — это создает проблемы с интеграцией и стимулирует спрос на решение “все в одном”, — объяснил Санкет. “Статический анализ играет решающую роль в понимании архитектуры кода, поэтому мы позиционируем себя как унифицированную платформу.”

Однако Globstar от DeepSource не единственная, несколько альтернатив статического анализа кода получили признание после скандала с лицензированием Semgrep. Например, SonarQube — это платформа анализа кода, которая предлагает как бесплатную Community Edition, так и платные версии для статического анализа кода, поддержки интеграции и отслеживания метрик. Аналогично, ShellCheck — это еще одна альтернатива, специально используемая для анализа скриптов shell, и помогает разработчикам обнаруживать ошибки скриптов, которые позже могут привести к серьезным ошибкам или неэффективности. Он помечает команды или синтаксис, которые могут быть несовместимы в разных средах shell. Благодаря своей простоте использования — способности запускаться из командной строки и легко интегрироваться в конвейеры CI/CD, ShellCheck стал все более популярным выбором.

Хотя Opengrep стремится сохранить открытые корни устаревшего инструмента, другие альтернативы, такие как SonarQube, Globstar и ShellCheck, также предлагают свежее, прогрессивное решение. По мере того, как разворачивается дискуссия об открытом исходном коде, разработчики и корпорации сталкиваются с важными выборами, которые могут переопределить ландшафт анализа кода.