Các lựa chọn thay thế mã nguồn mở giữa cuộc tranh cãi về giấy phép Semgrep

Cộng đồng an ninh mạng đã chứng kiến một sự thay đổi lớn vào tháng 1 năm 2025, khi các công ty đối thủ hợp tác để ra mắt Opengrep – một phiên bản fork của công cụ kiểm tra bảo mật ứng dụng tĩnh, Semgrep. Một thời được ca ngợi vì tinh thần mã nguồn mở lấy cộng đồng làm trung tâm, Semgrep đã gây ra tranh cãi khi thay đổi mô hình giấy phép của mình vào tháng 12 năm 2024. Những thay đổi về giấy phép này đã hạn chế việc sử dụng các quy tắc được đóng góp trong các sản phẩm thương mại và chuyển các tính năng chính sau một tường lửa trả phí.

Semgrep đã trở thành một công cụ thiết yếu cho các nhà phát triển trên toàn thế giới nhờ khả năng phát hiện các điểm yếu trên nhiều ngôn ngữ lập trình. Tuy nhiên, quyết định của công ty này có nguy cơ kìm hãm sự đổi mới trong một lĩnh vực quan trọng đối với an ninh mạng hiện đại.

Trong bối cảnh tranh cãi, công ty khởi nghiệp DevSecOps DeepSource đã ra mắt Globstar, một bộ công cụ mã nguồn mở mới cho bảo mật mã. Được xây dựng từ đầu và phát hành dưới giấy phép MIT, Globstar cho biết nó nhằm cung cấp quyền truy cập thương mại không giới hạn và công khai đầy đủ vào mã của mình.

“Thông qua Globstar, chúng tôi đang cung cấp một cách tiếp cận mới để phân tích tĩnh tùy chỉnh, được thiết kế với nhu cầu của các đội an ninh trong tâm trí. Nó xuất phát từ một khuôn khổ nội bộ mà chúng tôi đã phát triển cho việc phát hiện mối đe dọa,” Sanket Saurav, đồng sáng lập và CEO của DeepSource, cho tôi biết. “Semgrep đã nằm trong tay những người có khả năng, và mục tiêu của chúng tôi là đi theo một con đường khác biệt. Chúng tôi xem mình không phải là một sự thay thế, mà là một lựa chọn thay thế mang lại một quan điểm mới cho không gian này.”

Công ty đã huy động được tổng cộng 7,7 triệu đô la tiền vốn và hiện đang được hỗ trợ bởi các nhà đầu tư Y-Combinator.

Được phát triển bằng ngôn ngữ lập trình Go và tích hợp với Tree-sitter, Globstar hỗ trợ hơn 20 ngôn ngữ lập trình. Bộ công cụ này có giao diện YAML trực quan để tạo các công cụ kiểm tra bảo mật tùy chỉnh và giao diện Go tiên tiến cho phân tích tệp tin chéo phức tạp.

“Khi một dự án được fork, nó thường đi theo một hướng khác – nhưng khi bị giới hạn trong việc xây dựng trên một sản phẩm hiện có, sự đổi mới có thể bị hạn chế,” Sanket nói. “Chúng tôi đã tạo ra một hệ thống đơn giản hóa quá trình viết các công cụ kiểm tra mã tùy chỉnh.”

Cần thiết cho kinh doanh so với việc bảo tồn mã nguồn mở

Vào ngày 13 tháng 12 năm 2024, Semgrep đã thay đổi mô hình giấy phép của mình để hạn chế việc sử dụng các quy tắc được đóng góp bởi các bên thứ ba trong các sản phẩm thương mại cạnh tranh mà không có sự cho phép. Hơn nữa, công ty đã đổi thương hiệu phiên bản mã nguồn mở của mình thành “Semgrep CE” (Community Edition). Semgrep cho rằng những thay đổi về giấy phép của mình là cần thiết để bảo vệ tài sản trí tuệ và đảm bảo doanh thu bền vững. Công ty cho rằng việc hạn chế sử dụng thương mại giúp ngăn chặn việc tái đóng gói không được ủy quyền và hỗ trợ đổi mới lâu dài.

“Khi các kỹ sư viết mã để giải quyết một vấn đề, phân tích tĩnh kiểm tra mã mà không cần thực thi, xác định các mẫu và vấn đề tiềm ẩn sớm trong quá trình phát triển. Semgrep là một người chơi được kính trọng trong không gian này, và tôi giữ họ trong sự tôn trọng cao,” Sanket nói. “Tuy nhiên, sự thay đổi giấy phép của họ cho người dùng thương mại phản ánh một thực tế rộng lớn hơn: các công ty được hỗ trợ bởi VC phải cân bằng giữa các nguyên tắc mã nguồn mở và các mô hình kinh doanh bền vững.”

Ông lưu ý rằng mặc dù sự thay đổi này không ảnh hưởng trực tiếp đến người dùng cuối, nhưng nó làm dấy lên một cuộc tranh luận đang diễn ra về việc liệu mã nguồn mở có nên hoàn toàn không bị hạn chế hay tiến hóa để đảm bảo tính bền vững lâu dài.

Vào tháng 1 năm 2025, 10 công ty DevSec bao gồm Aikido Security, Arnica, Amplify Security, Endor Labs, Jit, Kodem, Legit Security, Mobb và Orca Security – đã hình thành một liên minh để ra mắt Opengrep. Traditionally là những đối thủ cạnh tranh gay gắt, liên minh mới này trực tiếp lên kế hoạch thách thức quyết định của Semgrep nhằm hạn chế chức năng vì lợi ích thương mại. Trong một bài đăng trên blog, Endor Labs cho biết rằng phân tích mã tĩnh là “quá quan trọng để bị hạn chế”.

Tuy nhiên, vẫn chưa rõ liệu Opengrep chỉ đơn giản là tái đóng gói mã di sản hay cung cấp một giải pháp hoàn toàn mới.

Sự trỗi dậy của các lựa chọn thay thế mã nguồn mở

DeepSource đã nhận ra một nhu cầu ngày càng tăng giữa các nhà phát triển về một công cụ không kế thừa các hạn chế di sản. “Khách hàng doanh nghiệp không muốn phải xử lý nhiều công cụ – điều này tạo ra thách thức tích hợp và thúc đẩy nhu cầu về một giải pháp tất cả trong một,” Sanket giải thích. “Phân tích tĩnh đóng vai trò quan trọng trong việc hiểu kiến trúc mã, đó là lý do tại sao chúng tôi đã định vị mình như một nền tảng thống nhất.”

Tuy nhiên, Globstar của DeepSource không đơn độc, một số lựa chọn thay thế phân tích mã tĩnh đã thu hút sự chú ý sau cuộc tranh cãi về giấy phép Semgrep. Ví dụ, SonarQube là một nền tảng phân tích mã cung cấp cả phiên bản Community Edition miễn phí và phiên bản trả phí, cho phân tích mã tĩnh, hỗ trợ tích hợp và theo dõi metrics. Tương tự, ShellCheck là một lựa chọn thay thế khác được sử dụng cụ thể để phân tích các tập lệnh shell, và giúp các nhà phát triển bắt các lỗi tập lệnh có thể dẫn đến các lỗi hoặc hiệu quả lớn sau này. Nó đánh dấu các lệnh hoặc cú pháp có thể không di động trên các môi trường shell khác nhau. Do sự dễ sử dụng – khả năng chạy từ dòng lệnh và tích hợp dễ dàng vào các đường ống CI/CD, ShellCheck đã trở thành một lựa chọn phổ biến.

Trong khi Opengrep tìm cách bảo tồn các gốc rễ mã nguồn mở của một công cụ di sản, các lựa chọn thay thế khác như SonarQube, Globstar và ShellCheck cũng cung cấp một giải pháp mới, hướng tới tương lai. Khi cuộc tranh luận về mã nguồn mở diễn ra, các nhà phát triển và doanh nghiệp phải đối mặt với những lựa chọn quan trọng có thể định hình lại cảnh quan của phân tích mã.