보안 커뮤니티는 2025 년 1 월에 경쟁 업체가 연합하여 발사되면서 지진 변화를 목격했습니다. Opengre– 정적 응용 프로그램 보안 테스트 도구의 포크, Semgrep. 커뮤니티 중심의 오픈 소스 정신으로 축하했던 SEMGREP 2024 년 12 월 라이센스 모델을 변경했을 때 논란이 불분명했습니다. 이러한 라이센스 변경으로 인해 상업용 제품에 기여한 규칙의 사용이 제한되었으며 Paywall 뒤에 주요 기능을 변화 시켰습니다.
Semgrep은 여러 프로그래밍 언어에서 취약성을 감지 할 수있는 능력으로 인해 전 세계 개발자에게 필수 도구가되었습니다. 그러나이 회사의 결정은 현대 사이버 보안에 중요한 분야에서 혁신을 막을 위험이 있습니다.
논쟁의 여지가 속에서 DevSecops 스타트 업 DeepSource가 출시되었습니다 글로 스타코드 보안을위한 새로운 오픈 소스 툴킷. Globstar는 MIT 라이센스에 따라 처음부터 구축되고 MIT 라이센스에 따라 릴리스 된이 코드에 대한 무제한 상업 및 전체 공개 액세스를 제공하는 것을 목표로하고 있다고 밝혔다.
“Globstar를 통해 우리는 보안 팀의 요구를 염두에두고 설계된 맞춤형 정적 분석에 대한 새로운 접근 방식을 제공하고 있습니다. 위협 탐지를 위해 개발 한 내부 프레임 워크에서 나왔습니다.” Sanket Saurav공동 창립자 및 CEO 심해나에게 말했다. “Semgrep은 이미 유능한 손에 달려 있으며, 우리의 목표는 뚜렷한 경로를 취하는 것이 었습니다. 우리는 자신을 대체품이 아니라 공간에 대한 새로운 관점을 가져 오는 대안으로 본다.”
이 회사는 총 7,700 만 달러의 자금을 모금했으며 현재 Y- 흡착기 투자자들의 지원을 받고 있습니다.
GO 프로그래밍 언어를 사용하여 개발되었으며 트리 시터와 통합 된 Globstar는 20 개 이상의 프로그래밍 언어를 지원합니다. 이 툴킷에는 사용자 정의 보안 검사기를 생성하기위한 직관적 인 YAML 인터페이스와 복잡한 크로스 파일 분석을위한 고급 GO 인터페이스가 있습니다.
Sanket은“프로젝트가 갈라지면 종종 다른 궤적이 필요하지만 기존 제품 위에 구축하는 데 제한이있을 때는 혁신이 제한 될 수 있습니다. “우리는 맞춤형 코드 체커를 작성하는 프로세스를 단순화하는 시스템을 만들었습니다.”
비즈니스 필요성 대 오픈 소스 보존
2024 년 12 월 13 일, Semgrep는 라이센스 모델을 개조하여 승인없이 경쟁 상업용 제품에서 기여한 규칙의 타사 사용을 제한했습니다. 또한이 회사는 오픈 소스 버전을 “Semgrep CE”(Community Edition)로 바꾸 었습니다. Semgrep은 지적 재산을 보호하고 지속 가능한 수익을 보장하는 데 라이센스 변경이 필수적이라고 주장합니다. 이 회사는 상업적 사용을 제한하면 무단 재 포장을 억제하는 데 도움이되고 장기 혁신을 지원한다고 주장합니다.
Sanket은“엔지니어가 문제를 해결하기 위해 코드를 작성할 때, 정적 분석은 실행없이 코드를 검사하고, 개발 과정의 초기에 패턴 및 잠재적 문제를 식별합니다. Semgrep 은이 공간에서 존경받는 플레이어이며,이를 고려하고 있습니다. “그러나 상업용 사용자에 대한 라이센스의 전환은 더 넓은 현실을 반영합니다. VC 지원 회사는 지속 가능한 비즈니스 모델과 오픈 소스 원칙의 균형을 맞춰야합니다.”
그는이 변경이 최종 사용자에게 직접적인 영향을 미치지는 않았지만 오픈 소스가 장기적인 생존 가능성을 보장하기 위해 완전히 제한되지 않거나 진화 해야하는지에 대한 지속적인 토론을 제기한다고 지적했다.
2025 년 1 월, Aikido Security, Arnica, Amplify Security, Endor Labs, JIT, Kodem, Legit Security, Mobb 및 ORCA Security를 포함한 10 개의 Devsec 회사는 OpenGrep를 시작하기위한 컨소시엄을 구성했습니다. 전통적으로 치열한 경쟁자 인 새로운 컨소시엄은 상업적 이익에 찬성하여 기능을 제한하려는 Semgrep의 결정에 직접 계획 할 계획입니다. a 블로그 게시물Endor Labs는 정적 코드 분석이“제한하기에는 너무 중요하다”고 진술했다.
그러나 OpenGREP가 완전히 새로운 솔루션을 제공하는 대신 레거시 코드를 다시 포장하는지 여부는 아직 확실하지 않습니다.
오픈 소스 대안의 상승
DeepSource는 레거시 제약을 물려받지 않는 도구에 대한 개발자 간의 요구가 커지고 있음을 인식했습니다. Sanket은“엔터프라이즈 고객은 여러 도구를 저글링하고 싶지 않습니다. 통합 문제를 일으키고 올인원 솔루션에 대한 수요를 유발합니다. “정적 분석은 코드 아키텍처를 이해하는 데 중요한 역할을합니다. 그래서 우리는 통합 플랫폼으로 자리 매김했습니다.”
그러나 DeepSource의 Globstar는 혼자가 아니며, 여러 정적 코드 분석 대안은 Semgrep 라이센스 논쟁에 따라 견인력을 얻었습니다. 예를 들어, Sonarqube는 정적 코드 분석, 통합 지원 및 메트릭 추적을 위해 무료 커뮤니티 에디션 및 유료 버전을 모두 제공하는 코드 분석 플랫폼입니다. 마찬가지로 Shellcheck은 쉘 스크립트를 분석하는 데 특별히 사용되는 또 다른 대안이며, 나중에 주요 버그 나 비 효율성으로 이어질 수있는 스크립팅 오류를 포착하는 데 도움이됩니다. 다른 쉘 환경에서 휴대 할 수없는 명령 또는 구문을 표시합니다. 사용 편의성으로 인해 명령 줄에서 실행되고 CI/CD 파이프 라인에 쉽게 통합 할 수 있기 때문에 Shellcheck은 점점 더 인기있는 선택이되었습니다.
OpenGrep은 레거시 도구의 Open Roots를 보존하려고하지만 Sonarqube, Globstar 및 Shellcheck와 같은 다른 대안도 신선하고 미래 지향적 인 솔루션을 제공합니다. 오픈 소스 토론이 전개됨에 따라 개발자와 기업은 코드 분석 환경을 재정의 할 수있는 중추적 인 선택에 직면 해 있습니다.
게시물 Semgrep 라이센스 논쟁 속에서 오픈 소스 대안 먼저 나타났습니다 Unite.ai.
