TL;DR: Betterleaks é um novo secrets de código aberto do autor do Gitleaks, patrocinado pela Aikido. É um substituto direto para o Gitleaks, com novos filtros, validação configurável, varreduras mais rápidas, mais opções e desenvolvido para a era dos agentes.
Porquê Betterleaks?
Secrets por toda parte e eu adoro descobri-los. Há oito anos, escrevi as primeiras linhas de código para o Gitleaks e fiquei obcecado por descobrir secrets encontrei a minha primeira credencial ativa no GitHub. Faço isso por amor ao jogo.
O Gitleaks cresceu de um pequeno projeto para um nome reconhecido por profissionais de segurança, hackers e programadores. No momento da redação deste artigo, o Gitleaks ostenta: o secrets mais marcado com estrelas no GitHub, baixado 26 milhões de vezes no GitHub e 1,2 milhão de vezes via `brew install`, e puxado 35 milhões de vezes pelo Docker e GHCR. É usado tanto como ferramenta interna quanto vendido como produto por empresas de grande e pequeno porte.
Então, porquê criar um novo projeto?
Para ser sincero, já não tenho controlo total sobre o repositório e o nome do Gitleaks. É uma chatice, mas também me dá a oportunidade de começar algo novo. Algo... melhor?
○
○
●
○ Betterleaks v1.0.0
Betterleaks é o sucessor do Gitleaks. Estamos a retirar o «git» e a adicionar «better» porque é isso mesmo que ele é: melhor. Alguém acredita no determinismo normativo?
Entrei para Aikido como chefe de Secrets com um objetivo simples: criar o melhor secrets de código aberto. Então, vamos lá, estamos a criá-lo.
Aqui está um breve resumo da situação atual do Betterleaks. Ele é um substituto direto do Gitleaks, com vários novos recursos. Isso significa que as suas antigas opções de CLI do Gitleaks continuarão a funcionar e as configurações antigas funcionarão imediatamente, só que mais rapidamente. Aqui estão alguns dos recursos que incluímos na versão 1:
- Validação definida por regra: A lógica de validação no Betterleaks é escrita utilizando a Common Expression Language (CEL).
- Análise da eficiência dos tokens: em vez de depender da entropia para filtrar secrets candidatos, o Betterleaks usa uma técnica baseada na tokenização BPE (sobre a qual escrevi em Rare Not Random). Ao medir a eficiência com que um tokenizador BPE comprime uma string, obtemos um bom aumento de sinal. Em relação ao conjunto de dados CredData, a eficiência de token atinge 98,6% de recall, em comparação com 70,4% da entropia.
- Pure Go (sem CGO): Queríamos uma verificação rápida sem depender do CGO e do Hyperscan. Implemente-o em qualquer lugar.
- Detecção de codificação padrão: O Betterleaks lida com secrets codificados duas ou três vezes secrets padrão.
- Mais regras - Novos fornecedores que impulsionam a sua organização estão a surgir constantemente e estamos focados em adicioná-los. É muito fácil escrever novas regras e lógica de validação para o Betterleaks, então venha e abra um PR!
Verificação paralela do Git - O Betterleaks verifica repositórios git mais rapidamente do que qualquer outra ferramenta quando a verificação paralela do git está ativada.
O que vem a seguir para o Betterleaks? A versão V1 já melhorou bastante o Gitleaks, mas temos mais planos para a versão V2, como:
- Digitalizar mais fontes - O Betterleaks suporta a digitalização de repositórios git e ficheiros (incluindo stdin), mas isso não é suficiente. Queremos digitalizar tudo e facilitar a adição de novas fontes. De forma extremamente fácil. Tão fácil quanto adicionar um único ficheiro ao repositório.
- LLM Assist - Recorra a um LLM local ou remoto com dados anonimizados para obter uma camada extra de confiança ou para classificar secrets genéricos secrets gerar métodos de autenticação potenciais com base no contexto.
- Novos filtros - Eficiência de tokens é um teaser, mas temos mais planos.
- Auto-revogação - Alguns secrets expõem APIs para revogar secrets. Pretendemos oferecer suporte a isso por meio da configuração.
- Mapeamento de permissões - Saber se um segredo está ativo ou não é ótimo, mas saber a que esse segredo tem acesso e o que ele pode fazer (como excluir a produção) é ainda melhor.
- Velocidades mais rápidas - Certamente existem algumas otimizações inexploradas, só precisamos encontrá-las.
- Configuração menos complicada (melhor) - O Gitleaks tem uma configuração sólida, mas às vezes pode ser um pouco confuso ajustá-la. Queremos simplificar ainda mais a configuração e expor a filtragem baseada em CEL em vez de listas de permissões. A configuração da versão 2.x.x será totalmente compatível com a v1 (e as suas configurações antigas do Gitleaks).
Eu mencionei que não estou a trabalhar sozinho? Ao longo dos anos em que mantive o Gitleaks, interagi com muitos membros da comunidade. Provavelmente centenas de pessoas. Três delas, em particular, foram extremamente úteis e vão ajudar-me a manter o Betterleaks. Ter quatro mantenedores em vez de um ajudará a garantir a estabilidade, a governança e a longevidade do projeto.
- Richard Gomez - diretor de desenvolvimento de software no grupo de Segurança Global do Royal Bank of Canada. Colaborador de longa data do Gitleaks e Pesquisador Mais Valioso do Microsoft Security Response Center 2024, Richard ajudou a lançar o Open Source Program Office do RBC e é apaixonado por fortalecer o ecossistema de código aberto do qual a segurança moderna depende.
- Braxton Plaxco - analista sénior de segurança da informação na equipa de resposta a incidentes da Red Hat, que também é obcecado por deteção de vazamentos secretos e OSINT. Ele liderou o programa de deteção de segredos da Red Hat, contando com ferramentas de código aberto como o Gitleaks (e agora o Betterleaks) como núcleo da estrutura LeakTK. Braxton procura constantemente oportunidades para divulgar as inovações da sua equipa, a fim de garantir que o trabalho deles beneficie o maior número possível de pessoas.
- Ahrav Dutta - engenheiro de software da Amazon, focado na criação de sistemas de alto desempenho e no avanço da verificação de segredos de código aberto. Ele se preocupa em tornar a detecção mais rápida, mais escalável e mais útil para a comunidade de segurança em geral.
O Betterleaks é um projeto de código aberto sob a licença MIT e junta-se à lista de projetos de código abertoAikido, ao lado Aikido Chain, Aikido , Aikido e Opengrep. Aikido o projeto, mas ele não depende da Aikido. Entrei para Aikido Willem (CTO) e eu temos a mesma visão de criar o melhor secrets de código aberto disponível. Eu trabalho nessa visão mantendo o Betterleaks, um projeto independente de código aberto com governança transparente e um roteiro orientado pela comunidade.
Por último, uma nota sobre o desenvolvimento do Betterleaks para a era dos agentes de IA. Goste-se ou não, os agentes estão aqui e estão a remodelar os fluxos de trabalho dos programadores. O Betterleaks foi concebido para ser humano em primeiro lugar, mas também precisamos de considerar o facto de que os agentes também o irão operar. Como os agentes operarão o Betterleaks? Provavelmente de uma forma semelhante à forma como os agentes usam outras CLIs, como o grep. Inicie o Claude Code, Codex ou Cursor e verá que eles estão constantemente a recorrer a ferramentas como o grep. Eles fazem isso porque uma boa CLI permite que eles usem flags para controlar rigorosamente a saída, obtendo a resposta exata de que precisam sem estourar o seu orçamento de tokens. Criámos o Betterleaks para oferecer exatamente essa utilidade. Então, vá em frente, defina o Betterleaks como uma ferramenta para o seu agente de IA e diga-lhe para verificar qualquer código que ele gere, ou enriqueça o seu agente de bug bounty executando o Betterleaks quando ele encontrar um ficheiro interessante.
Using a secrets scanner will save your bacon at one point or another so whether you’re a current Gitleaks user or completely new to secrets scanning, now is the time to give Betterleaks a spin. To help us build the best open-source secrets scanner out there, we’d massively appreciate a star on GitHub! See you in the issues and PRs :)
{{cta}}
