Connect with us

Cybersäkerhet

Öppen källkodsalternativ mitt i Semgrep-licenskontroversen

mm
Published
Updated

Säkerhetsgemenskapen upplevde en seismisk förändring i januari 2025, då rivaliserande företag enade sig för att lansera Opengrep — en fork av verktyget för statisk applikationssäkerhetstestning, Semgrep. Semgrep, som tidigare hyllades för sin communitydrivna öppen källkodsanda, väckte kontrovers när det ändrade sin licensmodell i december 2024. Dessa licensändringar begränsade användningen av bidragsgivna regler i kommersiella produkter och flyttade viktiga funktioner bakom en betalvägg.

Semgrep blev ett oumbärligt verktyg för utvecklare över hela världen på grund av dess förmåga att upptäcka sårbarheter i flera programmeringsspråk. Men företagets beslut riskerar att kväva innovation inom ett område som är avgörande för modern cybersäkerhet.

Mitt i kontroversen lanserade DevSecOps-startupen DeepSource Globstar, ett nytt öppen källkodsverktyg för kodskydd. Byggt från scratch och släppt under MIT-licensen, säger Globstar att det syftar till att tillhandahålla obegränsad kommersiell och fullständig allmän tillgång till sin kod.

“Genom Globstar erbjuder vi ett nytt tillvägagångssätt för anpassad statisk analys, utformat med säkerhetsteams behov i åtanke. Det uppkom från en intern ram som vi hade utvecklat för hotdetektering”, sa Sanket Saurav, medgrundare och VD för DeepSource, till mig. “Semgrep är redan i kapabla händer, och vårt mål var att ta en annan väg. Vi ser oss inte som en ersättning, utan som ett alternativ som bringar en ny perspektiv till utrymmet.”

Företaget har samlat in totalt 7,7 miljoner dollar i finansiering och backas för närvarande av Y-Combinator-investorer.

Utvecklat med hjälp av programmeringsspråket Go och integrerat med Tree-sitter, stöder Globstar över 20 programmeringsspråk. Verktyget har ett intuitivt YAML-gränssnitt för skapande av anpassade säkerhetskontroller och ett avancerat Go-gränssnitt för komplex, flerfilshantering.

“När ett projekt är en fork, tar det ofta en annan bana — men när det är begränsat till att bygga på en befintlig produkt, kan innovationen vara begränsad”, sa Sanket. “Vi skapade ett system som förenklar processen att skriva anpassade kodkontroller.”

Verksamhetsbehov kontra bevarande av öppen källkod

Den 13 december 2024 ändrade Semgrep sin licensmodell för att begränsa tredjepartsanvändning av bidragsgivna regler i konkurrerande kommersiella produkter utan auktorisering. Dessutom omdöpte företaget sin öppen källkodsversion till “Semgrep CE” (Community Edition). Semgrep hävdar att dess licensändringar är nödvändiga för att skydda immateriella rättigheter och säkerställa hållbar intäkt. Företaget hävdar att begränsning av kommersiell användning hjälper till att förhindra obehörig omförpackning och stöder långsiktig innovation.

“När ingenjörer skriver kod för att lösa ett problem, undersöker statisk analys koden utan att köra den, identifierar mönster och potentiella problem tidigt i utvecklingsprocessen. Semgrep är en respekterad aktör i detta område, och jag håller dem i hög aktning”, sa Sanket. “Men deras skifte i licensiering för kommersiella användare speglar en bredare verklighet: VC-backade företag måste balansera öppen källkodsprinciper med hållbara affärsmodeller.”

Han noterar att medan ändringen inte direkt påverkade slutanvändare, väcker den en pågående debatt om huruvida öppen källkod bör förbli helt obegränsad eller utvecklas för att säkerställa långsiktig livskraft.

I januari 2025 bildade 10 DevSec-företag, inklusive Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb och Orca Security, ett konsortium för att lansera Opengrep. Traditionellt sett som häftiga konkurrenter, planerar det nya konsortiet direkt att utmana Semgreps beslut att begränsa funktionalitet till förmån för kommersiell vinst. I en blogginlägg sa Endor Labs att statisk kodanalys är “för viktig för att begränsas”.

Men det är ännu inte klart om Opengrep bara återförpackar legacykod snarare än att erbjuda en helt ny lösning.

Öppen källkodsalternativs uppgång

DeepSource identifierade ett växande behov bland utvecklare av ett verktyg som inte ärver legacybegränsningar. “Företagskunder vill inte hantera flera verktyg — det skapar integrationsutmaningar och driver efterfrågan på en allt-i-ett-lösning”, förklarade Sanket. “Statisisk analys spelar en avgörande roll för att förstå kodarkitektur, vilket är varför vi har positionerat oss som en enhetlig plattform.”

Men DeepSources Globstar är inte ensam, flera statiska kodanalysalternativ har fått draghjälp efter Semgrep-licenskontroversen. Till exempel är SonarQube en kodanalysplattform som erbjuder både en gratis Community Edition och betalversioner för statisk kodanalys, integrationsstöd och måttspårning. Likaså är ShellCheck ett annat alternativ som specifikt används för att analysera shellskript och hjälper utvecklare att catcha skriptfel som senare kan leda till stora buggar eller ineffektiviteter. Det flaggar kommandon eller syntax som kanske inte är portabla över olika shellsmiljöer. På grund av dess enkelhet — möjligheten att köra från kommandoraden och enkelt integrera i CI/CD-pipelines, har ShellCheck blivit ett alltmer populärt val.

Medan Opengrep försöker bevara en legacyverktygs öppna rötter, erbjuder andra alternativ som SonarQube, Globstar och ShellCheck också en färsk, framåtriktad lösning. Medan den öppna källkodsdebatten utvecklas, står utvecklare och företag inför avgörande val som kan omdefiniera landskapet för kodanalys.

Related Topics:
mm

Victor Dey är en tech-redaktör och författare som täcker A.I., crypto, data science, metaverse och cybersecurity inom företagsvärlden. Han har ett halvt decennium av media- och AI-erfarenhet från att ha arbetat på välkända mediekanaler som VentureBeat, Metaverse Post, Observer och andra. Victor har handledat studentgrundare i acceleratorprogram vid ledande universitet, inklusive University of Oxford och University of Southern California, och har en masterexamen i data science och analys.