سیمگریپ لائسنسنگ تنازعہ کے درمیان اوپن سورس متبادل

سیکیورٹی کمیونٹی نے جنوری 2025 میں زلزلے کی تبدیلی کا مشاہدہ کیا، جب حریف کمپنیاں لانچ کرنے کے لیے متحد ہوئیں اوپنگریپجامد ایپلی کیشن سیکیورٹی ٹیسٹنگ ٹول کا ایک کانٹا، سیمگریپ۔ ایک بار اپنی کمیونٹی سے چلنے والے اوپن سورس اخلاقیات کے لیے منایا گیا، Semgrep دسمبر 2024 میں جب اس نے اپنے لائسنسنگ ماڈل میں تبدیلی کی تو تنازعہ کھڑا ہوا۔ لائسنسنگ کی ان تبدیلیوں نے تجارتی مصنوعات میں تعاون کردہ قواعد کے استعمال کو محدود کر دیا اور اہم خصوصیات کو پے وال کے پیچھے منتقل کر دیا۔

متعدد پروگرامنگ زبانوں میں کمزوریوں کا پتہ لگانے کی صلاحیت کی وجہ سے Semgrep دنیا بھر کے ڈویلپرز کے لیے ایک ضروری ٹول بن گیا۔ تاہم، کمپنی کے فیصلے سے جدید سائبرسیکیوریٹی کے لیے ایک اہم شعبے میں جدت کو روکنے کا خطرہ ہے۔

تنازعہ کے درمیان، DevSecOps اسٹارٹ اپ ڈیپ سورس کا آغاز ہوا۔ گلوب اسٹارکوڈ سیکیورٹی کے لیے ایک نئی اوپن سورس ٹول کٹ۔ شروع سے بنایا گیا اور MIT لائسنس کے تحت جاری کیا گیا، Globstar کا کہنا ہے کہ اس کا مقصد اپنے کوڈ تک غیر محدود تجارتی اور مکمل عوامی رسائی فراہم کرنا ہے۔

"گلوبسٹار کے ذریعے، ہم اپنی مرضی کے مطابق جامد تجزیہ کے لیے ایک نیا طریقہ پیش کر رہے ہیں، جو سیکیورٹی ٹیموں کی ضروریات کو مدنظر رکھتے ہوئے تیار کیا گیا ہے، جو ہم نے خطرے کی نشاندہی کے لیے تیار کیا تھا۔" سنکیت سوروکے شریک بانی اور سی ای او ڈیپ سورس، مجھے بتایا۔ "Semgrep پہلے سے ہی قابل ہاتھوں میں ہے، اور ہمارا مقصد ایک الگ راستہ اختیار کرنا تھا ہم خود کو ایک متبادل کے طور پر نہیں دیکھتے ہیں، بلکہ ایک متبادل کے طور پر جو خلا میں ایک نیا نقطہ نظر لاتا ہے۔"

کمپنی نے مجموعی طور پر $7.7M کی فنڈنگ ​​اکٹھی کی ہے اور فی الحال Y-Combinator سرمایہ کاروں کی طرف سے حمایت حاصل ہے۔

Go پروگرامنگ لینگویج کو استعمال کرتے ہوئے تیار کیا گیا اور Tree-sitter کے ساتھ مربوط، Globstar 20 سے زیادہ پروگرامنگ زبانوں کو سپورٹ کرتا ہے۔ ٹول کٹ میں حسب ضرورت سیکیورٹی چیکرز بنانے کے لیے ایک بدیہی YAML انٹرفیس اور پیچیدہ، کراس فائل تجزیہ کے لیے ایک جدید گو انٹرفیس شامل ہے۔

سنکیت نے کہا، "جب کسی پروجیکٹ کو فورک کیا جاتا ہے، تو یہ اکثر ایک مختلف رفتار لیتا ہے — لیکن جب کسی موجودہ پروڈکٹ کے اوپر تعمیر کرنے پر مجبور ہو، تو جدت محدود ہو سکتی ہے،" سنکیت نے کہا۔ "ہم نے ایک ایسا نظام بنایا ہے جو حسب ضرورت کوڈ چیکرس لکھنے کے عمل کو آسان بناتا ہے۔"

کاروبار کی ضرورت بمقابلہ اوپن سورس پرزرویشن

13 دسمبر 2024 کو، Semgrep نے اجازت کے بغیر مسابقتی تجارتی مصنوعات میں شراکت شدہ قواعد کے تیسرے فریق کے استعمال کو محدود کرنے کے لیے اپنے لائسنسنگ ماڈل کو بہتر بنایا۔ مزید برآں، کمپنی نے اپنے اوپن سورس ورژن کو "Semgrep CE" (کمیونٹی ایڈیشن) کا نام دیا۔ Semgrep کا دعویٰ ہے کہ اس کی لائسنسنگ تبدیلیاں املاک دانش کے تحفظ اور پائیدار آمدنی کو یقینی بنانے کے لیے ضروری ہیں۔ کمپنی کا دعویٰ ہے کہ تجارتی استعمال کو محدود کرنے سے غیر مجاز ری پیکجنگ کو روکنے میں مدد ملتی ہے اور طویل مدتی اختراع کی حمایت ہوتی ہے۔

"جب انجینئرز کسی مسئلے کو حل کرنے کے لیے کوڈ لکھتے ہیں، تو جامد تجزیہ بغیر عمل کے کوڈ کی جانچ کرتا ہے، نمونوں اور ممکنہ مسائل کی نشاندہی کرنا اس جگہ میں ایک قابل احترام کھلاڑی ہے، اور میں ان کا احترام کرتا ہوں،" سنکیت نے کہا۔ "تاہم، تجارتی صارفین کے لیے لائسنس دینے میں ان کی تبدیلی ایک وسیع حقیقت کی عکاسی کرتی ہے: VC کی حمایت یافتہ کمپنیوں کو پائیدار کاروباری ماڈلز کے ساتھ اوپن سورس اصولوں میں توازن رکھنا چاہیے۔"

وہ نوٹ کرتا ہے کہ اگرچہ تبدیلی کا براہ راست اختتامی صارفین پر اثر نہیں پڑا، لیکن یہ اس بارے میں ایک جاری بحث کو جنم دیتا ہے کہ آیا اوپن سورس کو مکمل طور پر غیر محدود رہنا چاہیے یا طویل مدتی عملداری کو یقینی بنانے کے لیے تیار ہونا چاہیے۔

جنوری 2025 کو، Aikido Security، Arnica، Amplify Security، Endor Labs، Jit، Kodem، Legit Security، Mobb اور Orca Security سمیت 10 DevSec فرموں نے Opengrep کو شروع کرنے کے لیے ایک کنسورشیم تشکیل دیا۔ روایتی طور پر سخت حریف، نیا کنسورشیم تجارتی فائدے کے حق میں فعالیت کو محدود کرنے کے سیمگریپ کے فیصلے کو براہ راست چیلنج کرنے کا ارادہ رکھتا ہے۔ ایک میں بلاگ پوسٹ، Endor Labs نے کہا کہ جامد کوڈ کا تجزیہ "محدود کرنے کے لئے بہت اہم ہے"۔

تاہم، یہ ابھی تک واضح نہیں ہے کہ کیا Opengrep مکمل طور پر نیا حل پیش کرنے کے بجائے صرف میراثی کوڈ کو دوبارہ پیک کرتا ہے۔

اوپن سورس متبادلات کا عروج 

ڈیپ سورس نے ڈویلپرز کے درمیان ایک ایسے ٹول کی بڑھتی ہوئی ضرورت کو تسلیم کیا جو میراثی رکاوٹوں کا وارث نہیں ہوتا ہے۔ "انٹرپرائز کے صارفین ایک سے زیادہ ٹولز کو جوڑنا نہیں چاہتے ہیں - یہ انضمام کے چیلنجز پیدا کرتا ہے اور ایک ہمہ جہت حل کی مانگ کو بڑھاتا ہے،" سنکیت نے وضاحت کی۔ "جامد تجزیہ کوڈ فن تعمیر کو سمجھنے میں ایک اہم کردار ادا کرتا ہے، یہی وجہ ہے کہ ہم نے خود کو ایک متحد پلیٹ فارم کے طور پر رکھا ہے۔"

تاہم، ڈیپ سورس کا گلوبسٹار اکیلا نہیں ہے، سیمگریپ لائسنسنگ تنازعہ کے بعد متعدد جامد کوڈ تجزیہ متبادلات نے توجہ حاصل کی ہے۔ مثال کے طور پر، SonarQube ایک کوڈ تجزیہ پلیٹ فارم ہے جو جامد کوڈ کے تجزیہ، انضمام کی حمایت اور میٹرکس ٹریکنگ کے لیے مفت کمیونٹی ایڈیشن اور ادا شدہ ورژن دونوں پیش کرتا ہے۔ اسی طرح، ShellCheck ایک اور متبادل ہے جو خاص طور پر شیل اسکرپٹ کا تجزیہ کرنے کے لیے استعمال ہوتا ہے، اور اسکرپٹنگ کی غلطیوں کو پکڑنے میں ڈویلپرز کی مدد کرتا ہے جو بعد میں بڑے کیڑے یا ناکارہیوں کا باعث بن سکتے ہیں۔ یہ کمانڈز یا نحو کو جھنڈا لگاتا ہے جو مختلف شیل ماحول میں پورٹیبل نہیں ہوسکتے ہیں۔ اس کے استعمال میں آسانی کی وجہ سے - کمانڈ لائن سے چلانے اور CI/CD پائپ لائنوں میں آسانی سے ضم ہونے کی صلاحیت، ShellCheck تیزی سے مقبول انتخاب بن گیا ہے۔

جب کہ Opengrep ایک لیگیسی ٹول کی کھلی جڑوں کو محفوظ رکھنے کی کوشش کرتا ہے، دوسرے متبادل جیسے SonarQube، Globstar اور ShellCheck بھی ایک تازہ، آگے کی سوچ کا حل پیش کرتے ہیں۔ جیسے جیسے اوپن سورس کی بحث سامنے آتی ہے، ڈویلپرز اور انٹرپرائزز کو اہم انتخاب کا سامنا کرنا پڑتا ہے جو کوڈ کے تجزیہ کے منظر نامے کی نئی وضاحت کر سکتے ہیں۔