Anslut dig till vårt nätverk!

Cybersäkerhet

Alternativ med öppen källkod mitt i Semgreps licenskontrovers

mm
publicerade

Säkerhetsgemenskapen bevittnade en seismisk förändring i januari 2025, när rivaliserande företag enades om att lansera Öppna grep— en gaffel av statiskt applikationssäkerhetstestverktyg, Semgrep. En gång hyllats för sitt community-drivna etos med öppen källkod, Semgrep väckte kontrovers när den ändrade sin licensmodell i december 2024. Dessa licensändringar begränsade användningen av bidragsregler i kommersiella produkter och flyttade nyckelfunktioner bakom en betalvägg.

Semgrep blev ett viktigt verktyg för utvecklare över hela världen på grund av dess förmåga att upptäcka sårbarheter över flera programmeringsspråk. Företagets beslut riskerar dock att kväva innovation inom ett område som är avgörande för modern cybersäkerhet.

Mitt i kontroversen lanserade DevSecOps startup DeepSource glob stjärna, en ny verktygslåda med öppen källkod för kodsäkerhet. Byggd från grunden och släppt under MIT-licensen, säger Globstar att det syftar till att ge obegränsad kommersiell och full offentlig tillgång till sin kod.

"Genom Globstar erbjuder vi ett nytt tillvägagångssätt för skräddarsydd statisk analys, designad med säkerhetsteamens behov i åtanke. Det framkom från ett internt ramverk som vi hade utvecklat för hotdetektion." Sanket Saurav, grundare och VD för DeepSource, berättade för mig. "Semgrep är redan i duktiga händer, och vårt mål var att ta en distinkt väg. Vi ser oss inte som en ersättare, utan ett alternativ som ger ett nytt perspektiv till rummet."

Företaget har samlat in totalt 7.7 miljoner USD i finansiering och stöds för närvarande av Y-Combinator-investerare.

Globstar har utvecklats med hjälp av programmeringsspråket Go och integrerat med Tree-sitter, och stöder över 20 programmeringsspråk. Verktygslådan har ett intuitivt YAML-gränssnitt för att skapa anpassade säkerhetskontroller och ett avancerat Go-gränssnitt för komplex analys av flera filer.

"När ett projekt splittras tar det ofta en annan bana - men när det är begränsat till att bygga ovanpå en befintlig produkt kan innovation begränsas", säger Sanket. "Vi skapade ett system som förenklar processen att skriva anpassade kodkontroller."

Affärsnödvändighet kontra bevarande av öppen källkod

Den 13 december 2024 förnyade Semgrep sin licensmodell för att begränsa tredje parts användning av bidragsregler i konkurrerande kommersiella produkter utan tillstånd. Dessutom ändrade företaget sin öppen källkodsversion till "Semgrep CE" (Community Edition). Semgrep hävdar att dess licensändringar är avgörande för att skydda immateriella rättigheter och säkerställa hållbara intäkter. Företaget hävdar att en begränsning av kommersiell användning hjälper till att förhindra otillåten ompackning och stödjer långsiktig innovation.

"När ingenjörer skriver kod för att lösa ett problem undersöker statisk analys koden utan exekvering, identifierar mönster och potentiella problem tidigt i utvecklingsprocessen. Semgrep är en respekterad aktör i det här utrymmet, och jag värdesätter dem högt", säger Sanket. "Men deras förändring av licensiering för kommersiella användare speglar en bredare verklighet: VC-stödda företag måste balansera principer om öppen källkod med hållbara affärsmodeller."

Han noterar att även om förändringen inte direkt påverkade slutanvändarna, väcker den en pågående debatt om huruvida öppen källkod ska förbli helt obegränsad eller utvecklas för att säkerställa långsiktig lönsamhet.

I januari 2025 bildade 10 DevSec-företag inklusive Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb och Orca Security ett konsortium för att lansera Opengrep. Traditionellt hårda konkurrenter planerar det nya konsortiet direkt att utmana Semgreps beslut att begränsa funktionaliteten till förmån för kommersiell vinst. I en blogginlägg, uppgav Endor Labs att statisk kodanalys är "för viktig för att begränsa".

Det är dock ännu inte klart om Opengrep bara paketerar om äldre kod snarare än att erbjuda en helt ny lösning.

Ökningen av alternativ med öppen källkod 

DeepSource insåg ett växande behov bland utvecklare av ett verktyg som inte ärver äldre begränsningar. "Företagskunder vill inte jonglera med flera verktyg – det skapar integrationsutmaningar och driver efterfrågan på en allt-i-ett-lösning", förklarade Sanket. "Statisk analys spelar en avgörande roll för att förstå kodarkitektur, vilket är anledningen till att vi har positionerat oss som en enhetlig plattform."

DeepSources Globstar är dock inte ensam, flera alternativ för statisk kodanalys har fått draghjälp efter Semgreps licenskontrovers. Till exempel är SonarQube en kodanalysplattform som erbjuder både en gratis Community Edition och betalversioner, för statisk kodanalys, integrationsstöd och mätvärdesspårning. Likaså är ShellCheck ett annat alternativ som specifikt används för att analysera skalskript, och hjälper utvecklare att fånga skriptfel som senare kan leda till stora buggar eller ineffektivitet. Den flaggar kommandon eller syntax som kanske inte är bärbara över olika skalmiljöer. På grund av sin enkla användning – förmågan att köra från kommandoraden och enkelt integreras i CI/CD-pipelines, har ShellCheck blivit ett alltmer populärt val.

Medan Opengrep strävar efter att bevara ett äldre verktygs öppna rötter, erbjuder andra alternativ som SonarQube, Globstar och ShellCheck också en fräsch, framåtblickande lösning. När debatten om öppen källkod utvecklas står utvecklare och företag inför avgörande val som kan omdefiniera landskapet för kodanalys.

Relaterade ämnen:
mm

Victor Dey är en teknisk redaktör och skribent som täcker AI, krypto, datavetenskap, metaverse och cybersäkerhet inom företagssfären. Han kan skryta med ett halvt decennium av media- och AI-erfarenhet av att arbeta på välkända medier som VentureBeat, Metaverse Post, Observer och andra. Victor har handlett studentgrundare vid acceleratorprogram vid ledande universitet, inklusive University of Oxford och University of Southern California, och har en magisterexamen i datavetenskap och analys.