Відкриті альтернативи серед скандалу з ліцензуванням Semgrep

Із січня 2025 року спільнота безпеки стала свідком значних змін, коли конкуруючі компанії об’єдналися, щоб запустити Opengrep – форк інструменту статичного аналізу безпеки застосунків Semgrep. Колись славився своєю відкритою спільнотою та етосом відкритого джерела, Semgrep викликав скандал, змінивши свою модель ліцензування у грудні 2024 року. Ці зміни ліцензування обмежили використання внесених правил у комерційних продуктах та перемістили ключові функції за платну стіну.

Semgrep став важливим інструментом для розробників усьому світі завдяки своїй здатності виявляти уразливості в декількох мовах програмування. Однак рішення компанії загрожує гальмувати інновації в галузі, життєво важливої для сучасної кібербезпеки.

У середині скандалу стартап DevSecOps DeepSource запустив Globstar, новий відкритий інструментарій для безпеки коду. Розроблений з нуля та випущений під ліцензією MIT, Globstar заявляє, що його мета – надати необмежений комерційний та повний публічний доступ до свого коду.

“Через Globstar ми пропонуємо свіжий підхід до налаштованого статичного аналізу, розробленого з урахуванням потреб команд безпеки. Він виник з внутрішньої структури, яку ми розробили для виявлення загроз”, – сказав мені Санкет Саурав, співзасновник та генеральний директор DeepSource. “Semgrep вже знаходиться в здатних руках, і нашою метою було взяти окремий шлях. Ми бачимо себе не як заміну, а як альтернативу, яка приносить нову перспективу в цю галузь”.

Компанія зібрала загалом 7,7 мільйонів доларів у вигляді фінансування та зараз підтримується інвесторами Y-Combinator.

Розроблений за допомогою мови програмування Go та інтегрований з Tree-sitter, Globstar підтримує понад 20 мов програмування. Інструментарій має інтуїтивно зрозумілий інтерфейс YAML для створення налаштованих перевірок безпеки та розширений інтерфейс Go для складного аналізу між файлами.

“Коли проект форкується, він часто рухається по іншому шляху, але коли обмежується побудовою на основі існуючого продукту, інновації можуть бути обмежені”, – сказав Санкет. “Ми створили систему, яка спрощує процес написання налаштованих перевірок коду”.

Бізнес-необхідність проти збереження відкритого джерела

13 грудня 2024 року Semgrep змінив свою модель ліцензування, щоб обмежити використання третьою стороною внесених правил у конкуруючих комерційних продуктах без авторизації. Крім того, компанія ребрендувала свою відкриту версію як “Semgrep CE” (Community Edition). Semgrep стверджує, що його зміни ліцензування є необхідними для захисту інтелектуальної власності та забезпечення стійкого доходу. Компанія вважає, що обмеження комерційного використання допомагає запобігти неавторизованому перепакуванню та підтримує довгострокові інновації.

“Коли інженери пишуть код для вирішення проблеми, статичний аналіз вивчає код без виконання, визначаючи шаблони та потенційні проблеми на ранній стадії розробки. Semgrep є поважним гравцем у цій галузі, і я ставлюся до них з великим уваженням”, – сказав Санкет. “Однак їхнє зміщення ліцензування для комерційних користувачів відображає ширшу реальність: компанії, що фінансуються венчурним капіталом, повинні балансувати принципи відкритого джерела з стійкими бізнес-моделями”.

Він зазначає, що хоча зміна не вплинула безпосередньо на кінцевих користувачів, вона піднімає тривалу дискусію про те, чи повинен відкритий код залишатися повністю необмеженим або розвиватися для забезпечення довгострокової життєздатності.

У січні 2025 року 10 компаній DevSec, включаючи Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb і Orca Security, утворили консорціум для запуску Opengrep. Традиційно жорсткі конкуренти, новий консорціум безпосередньо планує викликати рішенню Semgrep обмежити функціональність на користь комерційної вигоди. У блог-пості Endor Labs заявило, що статичний аналіз коду “занадто важливий, щоб обмежувати”.

Однак, поки що неясно, чи Opengrep просто перепакує старий код, а не пропонує повністю нове рішення.

Рост відкритих альтернатив

DeepSource визнала зростаючу потребу серед розробників у інструменті, який не успадковує обмеження спадщини. “Корпоративні клієнти не хочуть використовувати кілька інструментів – це створює проблеми з інтеграцією та генерує попит на універсальне рішення”, – пояснив Санкет. “Статичний аналіз грає життєво важливу роль у розумінні архітектури коду, тому ми позиціюємо себе як уніфіковану платформу”.

Однак інструментарій DeepSource Globstar не єдиний, кілька альтернатив статичного аналізу коду набули популярності після скандалу з ліцензуванням Semgrep. Наприклад, SonarQube – це платформа аналізу коду, яка пропонує як безкоштовну Community Edition, так і платні версії для статичного аналізу коду, підтримки інтеграції та відстеження метрик. Аналогічно, ShellCheck – це інший альтернативний інструмент, який використовується для аналізу сценаріїв shell та допомагає розробникам виявляти помилки сценаріїв, які можуть пізніше привести до великих помилок або неефективності. Він виділяє команди або синтаксис, які можуть не бути портативними в різних середовищах shell. Завдяки своїй легкості використання – можливості запуску з командної строки та легкій інтеграції до конвеєрів CI/CD, ShellCheck став все більш популярним вибором.

Хоча Opengrep намагається зберегти відкриті корені спадщини інструменту, інші альтернативи, такі як SonarQube, Globstar та ShellCheck, також пропонують свіже, майбутнє-орієнтоване рішення. Коли дискусія про відкритий код розгортається, розробники та підприємства стоять перед важливими виборами, які можуть переозначити ландшафт аналізу коду.