Các giải pháp thay thế nguồn mở trong bối cảnh tranh cãi về cấp phép Semgrep

Cộng đồng an ninh đã chứng kiến ​​một sự thay đổi lớn vào tháng 2025 năm XNUMX, khi các công ty đối thủ liên kết để ra mắt Opengrep—một nhánh của công cụ kiểm tra bảo mật ứng dụng tĩnh, Semgrep. Từng được ca ngợi vì tinh thần nguồn mở do cộng đồng thúc đẩy, Semgrep gây tranh cãi khi thay đổi mô hình cấp phép vào tháng 2024 năm XNUMX. Những thay đổi về cấp phép này hạn chế việc sử dụng các quy tắc đóng góp trong các sản phẩm thương mại và chuyển các tính năng chính ra sau tường phí.

Semgrep đã trở thành một công cụ thiết yếu cho các nhà phát triển trên toàn thế giới do khả năng phát hiện lỗ hổng trên nhiều ngôn ngữ lập trình. Tuy nhiên, quyết định của công ty có nguy cơ kìm hãm sự đổi mới trong một lĩnh vực quan trọng đối với an ninh mạng hiện đại.

Giữa những tranh cãi, công ty khởi nghiệp DevSecOps DeepSource đã ra mắt Sao băng, một bộ công cụ mã nguồn mở mới cho bảo mật mã. Được xây dựng từ đầu và phát hành theo giấy phép MIT, Globstar cho biết họ muốn cung cấp quyền truy cập thương mại và công khai không hạn chế vào mã của mình.

“Thông qua Globstar, chúng tôi cung cấp một cách tiếp cận mới cho phân tích tĩnh tùy chỉnh, được thiết kế có tính đến nhu cầu của các nhóm bảo mật. Nó xuất phát từ một khuôn khổ nội bộ mà chúng tôi đã phát triển để phát hiện mối đe dọa,” Sanket Saurav, đồng sáng lập và giám đốc điều hành của Nguồn sâu, đã nói với tôi. “Semgrep đã nằm trong tay những người có năng lực, và mục tiêu của chúng tôi là đi theo một con đường riêng biệt. Chúng tôi không coi mình là người thay thế, mà là người thay thế mang đến một góc nhìn mới cho không gian này.”

Công ty đã huy động được tổng cộng 7.7 triệu đô la tiền tài trợ và hiện đang được các nhà đầu tư Y-Combinator hỗ trợ.

Được phát triển bằng ngôn ngữ lập trình Go và tích hợp với Tree-sitter, Globstar hỗ trợ hơn 20 ngôn ngữ lập trình. Bộ công cụ này có giao diện YAML trực quan để tạo trình kiểm tra bảo mật tùy chỉnh và giao diện Go nâng cao để phân tích phức tạp, chéo tệp.

“Khi một dự án được phân nhánh, nó thường đi theo một quỹ đạo khác—nhưng khi bị giới hạn trong việc xây dựng trên một sản phẩm hiện có, sự đổi mới có thể bị hạn chế”, Sanket cho biết. “Chúng tôi đã tạo ra một hệ thống giúp đơn giản hóa quy trình viết trình kiểm tra mã tùy chỉnh”.

Sự cần thiết của doanh nghiệp so với việc bảo tồn nguồn mở

Vào ngày 13 tháng 2024 năm XNUMX, Semgrep đã cải tiến mô hình cấp phép của mình để hạn chế việc bên thứ ba sử dụng các quy tắc đóng góp trong các sản phẩm thương mại cạnh tranh mà không được phép. Hơn nữa, công ty đã đổi tên phiên bản nguồn mở của mình thành “Semgrep CE” (Phiên bản cộng đồng). Semgrep tuyên bố rằng những thay đổi về cấp phép của mình là cần thiết để bảo vệ sở hữu trí tuệ và đảm bảo doanh thu bền vững. Công ty cho rằng việc hạn chế sử dụng thương mại giúp hạn chế việc đóng gói lại trái phép và hỗ trợ đổi mới lâu dài.

“Khi các kỹ sư viết mã để giải quyết vấn đề, phân tích tĩnh sẽ kiểm tra mã mà không cần thực thi, xác định các mẫu và các vấn đề tiềm ẩn ngay từ đầu quá trình phát triển. Semgrep là một công ty được kính trọng trong lĩnh vực này và tôi đánh giá cao họ”, Sanket cho biết. “Tuy nhiên, sự thay đổi trong việc cấp phép cho người dùng thương mại của họ phản ánh một thực tế rộng hơn: các công ty được VC hỗ trợ phải cân bằng các nguyên tắc nguồn mở với các mô hình kinh doanh bền vững”.

Ông lưu ý rằng mặc dù sự thay đổi này không ảnh hưởng trực tiếp đến người dùng cuối, nhưng nó lại làm dấy lên cuộc tranh luận đang diễn ra về việc liệu mã nguồn mở có nên hoàn toàn không bị hạn chế hay nên phát triển để đảm bảo khả năng tồn tại lâu dài hay không.

Vào tháng 2025 năm 10, XNUMX công ty DevSec bao gồm Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb và Orca Security đã thành lập một liên minh để ra mắt Opengrep. Theo truyền thống là những đối thủ cạnh tranh khốc liệt, liên minh mới này có kế hoạch trực tiếp thách thức quyết định hạn chế chức năng của Semgrep để có lợi cho lợi nhuận thương mại. Trong một blog đăng bàiEndor Labs tuyên bố rằng phân tích mã tĩnh “quá quan trọng để hạn chế”.

Tuy nhiên, vẫn chưa rõ liệu Opengrep chỉ đóng gói lại mã cũ hay cung cấp một giải pháp hoàn toàn mới.

Sự trỗi dậy của các giải pháp thay thế nguồn mở 

DeepSource nhận thấy nhu cầu ngày càng tăng của các nhà phát triển đối với một công cụ không kế thừa các ràng buộc cũ. “Khách hàng doanh nghiệp không muốn sử dụng nhiều công cụ cùng lúc—điều này tạo ra những thách thức về tích hợp và thúc đẩy nhu cầu về một giải pháp tất cả trong một”, Sanket giải thích. “Phân tích tĩnh đóng vai trò quan trọng trong việc hiểu kiến ​​trúc mã, đó là lý do tại sao chúng tôi định vị mình là một nền tảng thống nhất”.

Tuy nhiên, Globstar của DeepSource không đơn độc, một số giải pháp thay thế phân tích mã tĩnh đã thu hút được sự chú ý sau tranh cãi về cấp phép Semgrep. Ví dụ, SonarQube là một nền tảng phân tích mã cung cấp cả phiên bản Cộng đồng miễn phí và phiên bản trả phí, để phân tích mã tĩnh, hỗ trợ tích hợp và theo dõi số liệu. Tương tự như vậy, ShellCheck là một giải pháp thay thế khác được sử dụng cụ thể để phân tích các tập lệnh shell và hỗ trợ các nhà phát triển trong việc phát hiện các lỗi tập lệnh có thể dẫn đến các lỗi lớn hoặc kém hiệu quả sau này. Nó đánh dấu các lệnh hoặc cú pháp có thể không khả chuyển trên các môi trường shell khác nhau. Do dễ sử dụng—khả năng chạy từ dòng lệnh và dễ dàng tích hợp vào các đường ống CI/CD, ShellCheck đã trở thành một lựa chọn ngày càng phổ biến.

Trong khi Opengrep tìm cách bảo tồn nguồn gốc mở của công cụ cũ, các giải pháp thay thế khác như SonarQube, Globstar và ShellCheck cũng cung cấp một giải pháp mới mẻ, có tư duy tiến bộ. Khi cuộc tranh luận về mã nguồn mở diễn ra, các nhà phát triển và doanh nghiệp phải đối mặt với những lựa chọn quan trọng có thể định nghĩa lại bối cảnh phân tích mã.