TL;DR: Betterleaks é um novo scanner de Secrets de código aberto do autor de Gitleaks, patrocinado pela Aikido. É um substituto direto para Gitleaks com novos filtros, validação configurável, varreduras mais rápidas, mais opções e construído para a era agêntica.
Por que Betterleaks?
Secrets vazam em todos os lugares e eu adoro encontrá-los. Oito anos atrás, escrevi as primeiras linhas de código para Gitleaks e tenho sido obcecado em encontrar Secrets desde que descobri minha primeira credencial ativa no GitHub. Faço isso por amor ao jogo.
Gitleaks cresceu de um pequeno projeto para um nome reconhecido por profissionais de segurança, hackers e desenvolvedores. No momento da escrita, Gitleaks ostenta: o scanner de Secrets mais estrelado no GitHub, baixado 26 milhões de vezes no GitHub e 1,2 milhão de vezes via `brew install`, e puxado 35 milhões de vezes por Docker e GHCR. É usado tanto como ferramenta interna quanto vendido como produto por empresas grandes e pequenas.
Então, por que criar um novo projeto?
Para ser transparente, não tenho mais controle total sobre o repositório e o nome de Gitleaks. É uma pena, mas também me dá a oportunidade de começar algo novo. Algo… melhor?
○
○
●
○ Betterleaks v1.0.0
Betterleaks é o sucessor de Gitleaks. Estamos tirando o “git” e colocando “melhor” nele porque é isso que ele é, melhor. Determinismo normativo, alguém?
Juntei-me à Aikido Security como Líder de Varredura de Segredos com um objetivo simples: construir o melhor scanner de Secrets de código aberto. Então, vamos lá, estamos construindo.
Aqui está um resumo rápido de onde o Betterleaks está hoje. Ele é um substituto direto para o Gitleaks, com uma série de novos recursos. Isso significa que suas antigas opções da CLI do Gitleaks continuarão funcionando e as configurações antigas funcionarão de imediato, apenas executará mais rápido. Aqui estão alguns dos recursos que lançamos na v1:
- Validação Definida por Regras: A lógica de validação no Betterleaks é escrita usando a Common Expression Language (CEL).
- Varredura de Eficiência de Token: Em vez de confiar na entropia para filtrar Secrets candidatos, o Betterleaks usa uma técnica baseada na tokenização BPE (sobre a qual escrevi em Rare Not Random). Ao medir a eficiência com que um tokenizador BPE comprime uma string, obtemos um bom aumento de sinal. Contra o conjunto de dados CredData, a eficiência de token atinge 98,6% de recall em comparação com 70,4% da entropia.
- Pure Go (Sem CGO): Queríamos uma varredura rápida sem depender de CGO e Hyperscan. Implante em qualquer lugar.
- Detecção de Codificação Padrão: O Betterleaks lida com Secrets duplamente e triplamente codificados por padrão.
- Mais Regras - Novos provedores que impulsionam sua organização estão surgindo o tempo todo e estamos focados em adicioná-los. É super fácil escrever novas regras e lógica de validação para o Betterleaks, então venha e abra um PR!
Varredura Git Paralelizada - O Betterleaks escaneia repositórios Git mais rápido do que qualquer outra ferramenta quando a varredura Git paralelizada está ativada.
O que vem a seguir para o Betterleaks? A V1 já melhora bastante o Gitleaks, mas temos mais planejado na V2, como:
- Varredura de mais fontes - O Betterleaks suporta a varredura de repositórios Git e arquivos (incluindo stdin), mas isso não é suficiente. Queremos escanear tudo e facilitar a adição de novas fontes. Tipo, ridiculamente fácil. Tipo, fácil como adicionar um único arquivo ao repositório.
- Assistência LLM - Chamar um LLM local ou remoto com dados anonimizados para uma camada extra de confiança ou para classificar Secrets genéricos e gerar métodos de autenticação potenciais com base no contexto.
- Novos filtros - A Eficiência de Token é um aperitivo, mas temos mais planejado.
- Revogação Automática - Alguns provedores de Secrets expõem APIs para revogar Secrets. Pretendemos suportar isso via configuração.
- Mapeamento de Permissões - Saber se um Secret está ativo ou não é ótimo, mas saber a que esse Secret tem acesso e o que ele pode fazer (como deletar a produção) é ainda melhor.
- Velocidades Mais Rápidas - Certamente existem otimizações inexploradas, só precisamos encontrá-las.
- Configuração menos complicada (melhor) - O Gitleaks tem uma configuração sólida, mas pode ser um pouco confuso de ajustar às vezes. Queremos simplificar ainda mais a configuração e expor filtragem baseada em CEL em vez de allowlists. A configuração da versão 2.x.x será totalmente compatível com a v1 (e suas antigas configurações do Gitleaks).
Eu mencionei que não estou trabalhando sozinho? Mantendo o Gitleaks ao longo dos anos, interagi com muitos membros da comunidade. Provavelmente centenas de pessoas. Há três em particular que foram extraordinariamente úteis e me ajudarão a manter o Betterleaks. Ter quatro mantenedores em vez de um ajudará a garantir a estabilidade, governança e longevidade do projeto.
- Richard Gomez - diretor de desenvolvimento de software no grupo de Segurança Global do Royal Bank of Canada. Colaborador de longa data do Gitleaks e Pesquisador Mais Valioso de 2024 do Microsoft Security Response Center, Richard ajudou a lançar o Open Source Program Office do RBC e é apaixonado por fortalecer o ecossistema de código aberto do qual a segurança moderna depende.
- Braxton Plaxco - Analista Sênior de Segurança da Informação na equipe de resposta a incidentes da Red Hat, que também é obcecado por detecção de vazamento de Secrets e OSINT. Ele liderou o programa de detecção de Secrets da Red Hat, contando com ferramentas de código aberto como Gitleaks (e agora Betterleaks) como o núcleo de sua estrutura LeakTK. Braxton busca consistentemente oportunidades para 'upstream' as inovações de sua equipe para garantir que seu trabalho beneficie o maior número possível de pessoas.
- Ahrav Dutta - engenheiro de software na Amazon, focado na construção de sistemas de alto desempenho e no avanço da varredura de Secrets de código aberto. Ele se preocupa em tornar a detecção mais rápida, mais escalável e mais útil para a comunidade de segurança em geral.
Betterleaks é open source sob licença MIT e se junta à lista de projetos open source da Aikido ao lado de Aikido Safe Chain, Aikido Zen, Aikido Intel, Opengrep. A Aikido patrocina o projeto, mas ele não depende da Aikido. Eu me juntei à Aikido porque Willem (CTO) e eu temos a mesma visão compartilhada de disponibilizar o melhor scanner de Secrets open source. Eu trabalho nessa visão mantendo o Betterleaks, um projeto open source independente com governança transparente e um roadmap impulsionado pela comunidade.
Por fim, uma nota sobre o desenvolvimento do Betterleaks para a era dos agentes de IA. Gostando ou não, os agentes estão aqui e estão remodelando os fluxos de trabalho dos desenvolvedores. O Betterleaks foi projetado para ser 'human-first', mas também precisamos considerar o fato de que os agentes também o operarão. Como os agentes operarão o Betterleaks? Provavelmente de uma forma semelhante a como os agentes usam outras CLIs como o grep. Inicie o Claude Code, Codex ou Cursor, e você os verá constantemente buscando ferramentas como o grep. Eles fazem isso porque uma boa CLI permite que usem flags para controlar rigidamente a saída, obtendo a resposta exata de que precisam sem estourar seu orçamento de tokens. Construímos o Betterleaks para oferecer exatamente a mesma utilidade. Então, vá em frente, defina o Betterleaks como uma ferramenta para seu agente de IA e diga a ele para escanear qualquer código que ele gerar, ou enriqueça seu agente de bug bounty executando o Betterleaks quando ele encontrar um arquivo interessante.
Using a secrets scanner will save your bacon at one point or another so whether you’re a current Gitleaks user or completely new to secrets scanning, now is the time to give Betterleaks a spin. To help us build the best open-source secrets scanner out there, we’d massively appreciate a star on GitHub! See you in the issues and PRs :)
{{cta}}
