Альтернативи з відкритим вихідним кодом серед суперечок щодо ліцензування Semgrep

Спільнота безпеки стала свідком сейсмічної зміни в січні 2025 року, коли конкуруючі компанії об’єдналися для запуску Opengrep— форк інструменту тестування безпеки статичних програм, Semgrep. Колись відзначався своїм духом відкритого коду, керованого спільнотою, Semgrep викликав суперечки, коли в грудні 2024 року змінив модель ліцензування. Ці зміни в ліцензуванні обмежили використання доданих правил у комерційних продуктах і перемістили ключові функції за платний екран.

Semgrep став важливим інструментом для розробників у всьому світі завдяки своїй здатності виявляти вразливості в багатьох мовах програмування. Однак рішення компанії ризикує придушити інновації в життєво важливій для сучасної кібербезпеки сфері.

На тлі суперечок стартап DevSecOps DeepSource запустив Глобстар, новий інструментарій із відкритим кодом для захисту коду. Створений з нуля та випущений за ліцензією MIT, Globstar каже, що прагне забезпечити необмежений комерційний і повний публічний доступ до свого коду.

"Завдяки Globstar ми пропонуємо новий підхід до спеціального статичного аналізу, розробленого з урахуванням потреб команд безпеки. Він виник із внутрішньої структури, яку ми розробили для виявлення загроз", Санкет Саурав, співзасновник та генеральний директор компанії DeepSource, сказав мені. "Semgrep вже в умілих руках, і наша мета полягала в тому, щоб піти особливим шляхом. Ми бачимо себе не як заміну, а як альтернативу, яка привносить нову перспективу в простір".

Компанія зібрала загалом 7.7 мільйонів доларів США, і зараз її підтримують інвестори Y-Combinator.

Розроблений з використанням мови програмування Go та інтегрований із Tree-sitter, Globstar підтримує понад 20 мов програмування. Набір інструментів містить інтуїтивно зрозумілий інтерфейс YAML для створення власних засобів перевірки безпеки та розширений інтерфейс Go для складного міжфайлового аналізу.

«Коли проект розгалужується, він часто приймає іншу траєкторію, але коли його обмежують створенням на основі існуючого продукту, інновації можуть бути обмеженими», — сказав Санкет. «Ми створили систему, яка спрощує процес написання власних засобів перевірки коду».

Бізнес-необхідність проти збереження відкритого коду

13 грудня 2024 року Semgrep оновив свою модель ліцензування, щоб обмежити використання сторонніми правилами в конкуруючих комерційних продуктах без авторизації. Крім того, компанія перейменувала свою відкриту версію на «Semgrep CE» (Community Edition). Semgrep стверджує, що зміни в ліцензуванні необхідні для захисту інтелектуальної власності та забезпечення сталого доходу. Компанія стверджує, що обмеження комерційного використання допомагає стримувати несанкціоноване перепакування та підтримує довгострокові інновації.

"Коли інженери пишуть код для вирішення проблеми, статичний аналіз перевіряє код без виконання, виявляючи шаблони та потенційні проблеми на ранніх стадіях процесу розробки. Semgrep є поважним гравцем у цій сфері, і я дуже поважаю їх", - сказав Санкет. «Однак їхні зміни в ліцензуванні для комерційних користувачів відображають ширшу реальність: компанії, що підтримуються венчурним капіталом, повинні балансувати між принципами відкритого коду та стійкими бізнес-моделями».

Він зазначає, що, хоча ця зміна безпосередньо не вплинула на кінцевих користувачів, вона викликає постійну дискусію про те, чи має відкритий вихідний код залишатися повністю необмеженим або розвиватися, щоб забезпечити довгострокову життєздатність.

У січні 2025 року 10 компаній DevSec, включаючи Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb і Orca Security, сформували консорціум для запуску Opengrep. Будучи традиційно запеклими конкурентами, новий консорціум напряму планує оскаржити рішення Semgrep обмежити функціональність на користь комерційної вигоди. В а блог, Endor Labs заявила, що статичний аналіз коду «надто важливий, щоб обмежувати його».

Однак, поки що незрозуміло, чи Opengrep просто перепаковує застарілий код, а не пропонує абсолютно нове рішення.

Зростання альтернатив відкритого коду 

DeepSource визнав зростаючу потребу розробників в інструменті, який не успадковує застарілі обмеження. «Комерційні клієнти не хочуть жонглювати кількома інструментами — це створює труднощі інтеграції та підвищує попит на рішення «все в одному», — пояснив Санкет. «Статичний аналіз відіграє вирішальну роль у розумінні архітектури коду, тому ми позиціонуємо себе як єдину платформу».

Однак Globstar від DeepSource не єдиний, кілька альтернатив статичного аналізу коду набули популярності після суперечки щодо ліцензування Semgrep. Наприклад, SonarQube — це платформа аналізу коду, яка пропонує як безкоштовне видання Community, так і платні версії для статичного аналізу коду, підтримки інтеграції та відстеження показників. Подібним чином ShellCheck є ще однією альтернативою, яка спеціально використовується для аналізу сценаріїв оболонки та допомагає розробникам виявляти помилки сценаріїв, які пізніше можуть призвести до серйозних помилок або неефективності. Він позначає команди або синтаксис, які можуть бути непереносимі в різних середовищах оболонки. Завдяки простоті використання — можливості запуску з командного рядка та легкої інтеграції в конвеєри CI/CD — ShellCheck стає все більш популярним вибором.

У той час як Opengrep прагне зберегти відкриті корені застарілого інструменту, інші альтернативи, такі як SonarQube, Globstar і ShellCheck, також пропонують свіже, передове рішення. У міру того, як розгортаються дебати щодо відкритого коду, розробники та підприємства стикаються з ключовими виборами, які можуть змінити ландшафт аналізу коду.