Поставщик платформы безопасности DeepSource говорит, что ее платформа наблюдения GlobStar предлагает альтернативу SEMGREP, которая недавно изменила условия своей лицензии с открытым исходным кодом для наблюдения за безопасностью.
Создатели Globstar быстро отмечают, что Globstar не является вилкой Semgrep. Он был разработан параллельно как доморощенная, внутренняя платформа наблюдения, на которой DeepSource полагалась на свою наблюдаемость безопасности.
Когда Semgrep изменил свои условия лицензирования, Globstar был примерно на 80% готовым, сказал мне Санкет Сауурв, соучредитель и генеральный директор DeepSource.
«У нас было это в нашей дорожной карте, чтобы уже запустить Globstar, и 80% работы было выполнено. Когда мы увидели изменение лицензии, это казалось хорошей возможностью протолкнуть оставшиеся 20% и сделать его вживую», — сказал мне Саурав. «Команда работала пару недель, и мы объявили первую версию публично в последней неделе января 2025 года».
Компания строит инструменты статического анализа в течение более пяти лет, почти шесть, с момента ее создания. После присоединения к Y Combinator в 2019 году его развитие началось годом ранее. По словам Саурава, в то время как Semgrep был немного дольше, DeepSource использовал другой подход.
«Несмотря на разработку статического анализа времени выполнения, все компоненты являются доморощенными. Этот подход позволяет клиентам писать пользовательские контролировки и правила непосредственно на Deepsource, предлагая новую альтернативу существующим решениям, таким как Semgrep», — сказал Саурав. «В отличие от SEMGREP, это решение вводит совершенно новый подход к созданию и исполнению правил».
По словам Саурава, система построена из первых принципов, без повторного использования или разбивания существующих кодовых баз. «Globstar разрабатывается с нуля для решения фундаментального вопроса: если команда хочет написать проверку, что нужно и как это можно сделать наиболее эффективно?» Саурас сказал.
Компания имеет открытый источник Globstar по лицензии API, предоставляя два API: API на базе YAML и API на основе GO. API на базе YAML позволяет командам легко создавать простые шашки, в то время как API на основе GO предлагает полную гибкость для более сложных и сложных реализаций. По словам Саурава, используя GO, пользователи могут достичь расширенной функциональности и настройки.
Проверка безопасности
В сообщении в блоге Саурас писал, что DeepSource «изначально создал внутреннюю структуру, используя Tree-Sitter для наших проприетарных анализаторов инфраструктуры как код, что позволило нам быстро создавать новые контролировщики. Мы поняли, что создание рамки открытого исходного кода может решить эту проблему для всех»,-написал Сауур.
«Наша ключевая идея заключалась в том, что письменные шашки больше не являются сложной частью. Современные помощники искусственного интеллекта, такие как Chatgpt и Claude, отлично подходят для создания запросов на деревьете с очень высокой точностью. Мы поняли, что нажатый синтаксис S-экспрессии деревьев больше не является проблемой (так как AI будет делать все поколение), и мы можем сосредоточиться на создании быстрого, гибкого, и релизора.
«Вместо того, чтобы создавать еще один DSL, используется нативный синтаксис запросов дерева. «Когда вам нужно отладить правило, вы работаете с фактической структурой вашего кода, а не с абстракцией, которая может скрыть важные детали».
Ключевые особенности Globstar, который сообщил Deepseek, включают:
- Написано с использованием высокоуровневого языка программирования общего назначения Go, с нативными привязками дерева (описанные выше), распределенные в виде одного двоичного файла.
- Пользователи могут запускать Globstar, написав все свои шашки в папке «.globstar» в их репо, в Yaml или Go, и запустив «Globstar Check».
- Поддержка многоцестности через дерево-ситтер (сегодня более 20 языков).
- Постепенная кривая обучения: кодеры могут начинать с интерфейса YAML для простых шаблонов и выпускника до интерфейса GO, когда им нужны сложные функции, такие как анализ межфильного анализа и разрешение объема.
Открытый исходный код
По словам Саурава, выпуск GlobStar следует за тем, как Semgrep «удвоился» на коммерческие ограничения использования в широко популярном инструменте сканера с открытым исходным кодом. По словам Саурава, некоторые компании и конечные пользователи были обеспокоены тем, что это может ограничить их способность обеспечить их код.
В соответствии с новыми условиями использования пользователи SEMGREP будут иметь доступ только к новым функциям, представленным в рамках правил, соответствующих сообществу, посредством его оплачиваемого или коммерческого предложения. По сути, пользователям придется платить за эти функции. Кроме того, другие функции были перемещены за программное обеспечение для оплаты в качестве платформы услуг (SAAS). SEMGREP преуменьшил новые ограничения, прикрепленные к использованию статического тестирования безопасности приложения (SAST).
В сообщении в блоге Люк О’Мэлли, основатель и директор по продукту Semgrep, написал:
«Мы делаем несколько обновлений для двигателя и правил Semgrep OSS-теперь в настоящее время названным Semgrep Community Edition-чтобы лучше отличить свой бесплатный характер, ориентированный на сообщество от наших коммерческих предложений, и уточнить, что другие поставщики не могут использовать правила Semgrep Community Edition как часть конкурирующего программного обеспечения в качестве предложения услуги. Начало сегодня:
- Semgrep Community Edition: Semgrep OSS теперь называется Semgrep Community Edition, отражая его роль бесплатного, ориентированного на сообщество инструмента.
- Изменение лицензии на правила: Пользовавшие SEMGREP Правила в настоящее время лицензированы в соответствии с лицензией по правилам SEMGREP V.1.0, так что они доступны только для внутренних, неконкурентных и не-SAAS Contexts.
- Очистка вывода: определенные поля SEMGREP-Internal в выходе JSON и SARIF теперь зарезервированы для нашего зарегистрированного коммерческого двигателя.
- Экспериментальные особенности: функции, ранее отмеченные экспериментальные эксперимента, теперь являются частью нашего зарегистрированного коммерческого двигателя ».
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. BC Gain является основателем и главным аналитиком Revecom Media. Его одержимость компьютерами началась, когда он взломал консоль космических захватчиков, чтобы играть весь день за 25 центов в местной видеокаде в начале 1980 -х годов. Затем он … читайте больше от B. Cameron Gain
