جامعه امنیتی در ژانویه سال 2025 شاهد تغییر لرزه ای بود ، زیرا شرکت های رقیب برای راه اندازی متحد شدند OpenGrep– چنگال ابزار تست امنیتی برنامه استاتیک ، Semgrep. هنگامی که برای اخلاق منبع باز جامعه محور خود جشن گرفت ، سمی جنجال برانگیز هنگامی که مدل صدور مجوز خود را در دسامبر 2024 تغییر داد. این تغییرات صدور مجوز استفاده از قوانین کمک شده در محصولات تجاری را محدود کرده و ویژگی های کلیدی را در پشت یک Paywall تغییر داده است.
SEMGREP به دلیل توانایی در تشخیص آسیب پذیری ها در زبان های برنامه نویسی متعدد ، ابزاری اساسی برای توسعه دهندگان در سراسر جهان شد. با این حال ، تصمیم این شرکت باعث می شود نوآوری در یک منطقه حیاتی برای امنیت سایبری مدرن باشد.
در میان بحث و جدال ، Devsecops Startup Deepsource راه اندازی شد گلوبال، یک ابزار جدید منبع باز برای امنیت کد. Globstar که از ابتدا ساخته شده و تحت مجوز MIT منتشر شده است ، می گوید که هدف این است که دسترسی تجاری بدون محدودیت و کامل به کد خود را فراهم کند.
“از طریق Globstar ، ما یک رویکرد تازه برای تجزیه و تحلیل استاتیک سفارشی ارائه می دهیم ، که با نیاز تیم های امنیتی در ذهن طراحی شده است. غرق ساوراو، بنیانگذار و مدیرعامل عمق، به من گفت “Semgrep در حال حاضر در دست است و هدف ما این بود که یک مسیر مشخص را طی کنیم.
این شرکت در مجموع 7.7 میلیون دلار بودجه جمع آوری کرده است و در حال حاضر توسط سرمایه گذاران Y-Combinator پشتیبانی می شود.
Globstar با استفاده از زبان برنامه نویسی GO و یکپارچه با درخت نشانگر ، بیش از 20 زبان برنامه نویسی را پشتیبانی می کند. این ابزار دارای یک رابط بصری YAML برای ایجاد چکرهای امنیتی سفارشی و یک رابط پیشرفته GO برای تجزیه و تحلیل پیچیده و متقاطع است.
سانکت گفت: “هنگامی که یک پروژه چنگال می شود ، اغلب مسیر متفاوتی را طی می کند – اما هنگامی که محدود به ساخت بالای یک محصول موجود باشد ، نوآوری می تواند محدود باشد.” “ما سیستمی ایجاد کردیم که روند نوشتن چک های کد سفارشی را ساده می کند.”
ضرورت تجاری در مقابل حفظ منبع باز
در 13 دسامبر 2024 ، SEMGREP مدل صدور مجوز خود را برای محدود کردن استفاده شخص ثالث از قوانین کمک شده در محصولات تجاری رقیب بدون مجوز بازسازی کرد. علاوه بر این ، این شرکت نسخه منبع باز خود را به “Semgrep Ce” (نسخه جامعه) معرفی کرد. SEMGREP ادعا می کند که تغییرات صدور مجوز آن برای محافظت از مالکیت معنوی و اطمینان از درآمد پایدار ضروری است. این شرکت ادعا می کند که محدود کردن استفاده تجاری به مهار مجدد بسته بندی غیرمجاز کمک می کند و از نوآوری بلند مدت پشتیبانی می کند.
SAMGET گفت: “هنگامی که مهندسان برای حل یک مشکل کد می نویسند ، تجزیه و تحلیل استاتیک کد را بدون اجرای ، شناسایی می کند ، شناسایی الگوهای و مسائل بالقوه در مراحل توسعه. “با این حال ، تغییر مجوز آنها برای کاربران تجاری نشان دهنده واقعیت گسترده تری است: شرکت های تحت حمایت VC باید اصول منبع باز را با مدلهای تجاری پایدار تعادل برقرار کنند.”
وی خاطرنشان می کند که در حالی که این تغییر به طور مستقیم بر کاربران نهایی تأثیر نمی گذارد ، بحث در مورد اینکه آیا منبع باز باید کاملاً بدون محدودیت باقی بماند یا تکامل یابد تا از زنده ماندن طولانی مدت اطمینان حاصل شود.
در ژانویه سال 2025 ، 10 شرکت Devsec از جمله Aikido Security ، Arnica ، Amplify Security ، Endor Labs ، JIT ، Kodem ، Security Legit ، Mobb و Orca – یک کنسرسیوم را برای راه اندازی OpenGREP تشکیل دادند. به طور سنتی رقبای شدید ، کنسرسیوم جدید به طور مستقیم قصد دارد تصمیم Semgrep را برای محدود کردن عملکرد به نفع سود تجاری به چالش بکشد. در الف پست وبلاگ، آزمایشگاه های Endor اظهار داشت که تجزیه و تحلیل کد استاتیک “برای محدود کردن” بسیار مهم است.
با این حال ، هنوز مشخص نیست که آیا OpenGREP صرفاً به جای ارائه یک راه حل کاملاً جدید ، کد میراث را بازپرداخت می کند.
ظهور گزینه های منبع باز
Deepsource نیاز فزاینده ای را در بین توسعه دهندگان برای ابزاری که محدودیت های میراث را به ارث نمی برد ، تشخیص داد. سانکت توضیح داد: “مشتریان شرکت نمی خواهند چندین ابزار را جمع کنند-این چالش های ادغام را ایجاد می کند و تقاضا را برای یک راه حل همه در یک هدایت می کند.” “تجزیه و تحلیل استاتیک نقش مهمی در درک معماری کد دارد ، به همین دلیل ما خودمان را به عنوان یک بستر یکپارچه قرار داده ایم.”
با این حال ، Globstar Deepsource تنها نیست ، چندین گزینه تجزیه و تحلیل کد استاتیک پس از بحث و جدال صدور مجوز SEMGREP به دست آمده است. به عنوان مثال ، Sonarqube یک بستر تجزیه و تحلیل کد است که هم برای تجزیه و تحلیل کد استاتیک ، پشتیبانی ادغام و ردیابی معیارها ، نسخه رایگان جامعه و نسخه های پرداخت شده را ارائه می دهد. به همین ترتیب ، ShellCheck گزینه دیگری است که به طور خاص برای تجزیه و تحلیل اسکریپت های پوسته مورد استفاده قرار می گیرد و به توسعه دهندگان کمک می کند تا خطاهای اسکریپت را بدست آورند که بعداً می تواند منجر به اشکالات عمده یا ناکارآمدی شود. این دستورات یا نحو را پرچم گذاری می کند که ممکن است در محیط های مختلف پوسته قابل حمل نباشد. با توجه به سهولت در استفاده از آن ، قابلیت اجرا از خط فرمان و به راحتی در خطوط لوله CI/CD ادغام می شود ، Shellcheck به یک انتخاب فزاینده محبوب تبدیل شده است.
در حالی که OpenGrep به دنبال حفظ ریشه های باز یک ابزار میراث است ، سایر گزینه های دیگر مانند Sonarqube ، Globstar و Shellcheck نیز یک راه حل تازه و به جلو را ارائه می دهند. با آشکار شدن بحث منبع باز ، توسعه دهندگان و بنگاهها با انتخاب های محوری روبرو هستند که ممکن است چشم انداز تجزیه و تحلیل کد را تعریف کند.
