TL;DR: Betterleaks ist ein neuer Open-Source Secrets-Scanner vom Autor von Gitleaks, gesponsert von Aikido. Es ist ein direkter Ersatz für Gitleaks mit neuen Filtern, konfigurierbarer Validierung, schnelleren Scans, mehr Optionen und wurde für das Zeitalter der Agenten entwickelt.
Warum Betterleaks?
Secrets gelangen überall an die Öffentlichkeit, und ich liebe es, sie zu finden. Vor acht Jahren schrieb ich die ersten Codezeilen für Gitleaks und bin seit der Entdeckung meines ersten Live-Credentials auf GitHub davon besessen, Secrets zu finden. Ich bin dabei aus Leidenschaft.
Gitleaks entwickelte sich von einem kleinen Projekt zu einem Namen, der von Sicherheitsexperten, Hackern und Entwickelnde anerkannt wird. Zum Zeitpunkt der Erstellung dieses Textes kann Gitleaks Folgendes vorweisen: den meistgestarnten Secrets-Scanner auf GitHub, 26 Millionen Mal auf GitHub und 1,2 Millionen Mal über `brew install` heruntergeladen und 35 Millionen Mal von Docker und GHCR gepullt. Es wird sowohl als internes Tool verwendet als auch von großen und kleinen Unternehmen als Produkt verkauft.
Warum also ein neues Projekt erstellen?
Um transparent zu sein: Ich habe nicht mehr die volle Kontrolle über das Gitleaks-Repo und den Namen. Das ist ärgerlich, aber es gibt mir auch die Möglichkeit, etwas Neues zu beginnen. Etwas… Besseres?
○
○
●
○ Betterleaks v1.0.0
Betterleaks ist der Nachfolger von Gitleaks. Wir lassen das „git“ weg und setzen stattdessen „better“ ein, weil es genau das ist: besser. Normativer Determinismus, jemand?
Ich bin zu Aikido Security als Head of Secrets-Scan gekommen, mit einem einfachen Ziel: den besten Open-Source-Secrets-Scanner zu entwickeln. Also los, wir bauen ihn.
Hier ist eine kurze Zusammenfassung des aktuellen Stands von Betterleaks. Es ist ein Drop-in-Ersatz für Gitleaks mit einer Reihe neuer Funktionen. Das bedeutet, dass Ihre alten Gitleaks CLI-Optionen weiterhin funktionieren und alte Konfigurationen sofort einsatzbereit sind; es wird einfach schneller laufen. Hier sind einige der Funktionen, die wir mit Version 1 ausliefern:
- Regelbasierte Validierung: Die Validierungslogik in Betterleaks ist in der Common Expression Language (CEL) geschrieben.
- Token-Effizienz-Scan: Anstatt sich auf Entropie zu verlassen, um potenzielle Secrets zu filtern, verwendet Betterleaks eine Technik, die auf BPE-Tokenisierung basiert (über die ich in Rare Not Random geschrieben habe). Indem wir messen, wie effizient ein BPE-Tokenizer eine Zeichenkette komprimiert, erhalten wir eine deutliche Signalverbesserung. Im Vergleich zum CredData-Datensatz erreicht die Token-Effizienz eine Recall-Rate von 98,6 % gegenüber 70,4 % bei der Entropie.
- Reines Go (ohne CGO): Wir wollten schnelles Scannen, ohne auf CGO und Hyperscan angewiesen zu sein. Überall einsetzbar.
- Standardmäßige Encoding-Erkennung: Betterleaks verarbeitet doppelt und dreifach kodierte Secrets standardmäßig.
- Mehr Regeln – Ständig tauchen neue Anbieter auf, die Ihre Organisation unterstützen, und wir konzentrieren uns darauf, diese hinzuzufügen. Es ist supereinfach, neue Regeln und Validierungslogik für Betterleaks zu schreiben, also machen Sie mit und öffnen Sie einen PR!
Parallelisierter Git-Scan – Betterleaks scannt Git-Repos schneller als jedes andere Tool, wenn der parallelisierte Git-Scan aktiviert ist.
Was kommt als Nächstes für Betterleaks? Version 1 verbessert Gitleaks bereits erheblich, aber wir haben für Version 2 noch mehr geplant, wie zum Beispiel:
- Mehr Quellen scannen – Betterleaks unterstützt das Scannen von Git-Repos und Dateien (einschließlich stdin), aber das ist nicht genug. Wir wollen alles scannen und das Hinzufügen neuer Quellen vereinfachen. So einfach, dass es schon fast dumm ist. So einfach wie das Hinzufügen einer einzelnen Datei zum Repo.
- LLM-Unterstützung – Aufruf eines lokalen oder entfernten LLM mit anonymisierten Daten für eine zusätzliche Sicherheitsebene oder um generische Secrets zu klassifizieren und potenzielle Authentifizierungsmethoden basierend auf dem Kontext zu generieren.
- Neue Filter – Die Token-Effizienz ist nur ein Vorgeschmack, aber wir haben noch mehr geplant.
- Automatische Widerrufung – Einige Secrets-Anbieter stellen APIs zum Widerrufen von Secrets bereit. Wir beabsichtigen, dies über die Konfiguration zu unterstützen.
- Berechtigungszuordnung – Zu wissen, ob ein Secret aktiv ist oder nicht, ist großartig, aber zu wissen, worauf dieses Secret Zugriff hat und was es tun kann (z. B. Produktion löschen), ist noch besser.
- Höhere Geschwindigkeiten – Es gibt sicherlich noch ungenutzte Optimierungen, die wir nur finden müssen.
- Weniger umständliche (bessere) Konfiguration – Gitleaks hat eine solide Konfiguration, die aber manchmal etwas verwirrend sein kann, wenn man sie anpassen möchte. Wir wollen die Konfiguration noch weiter vereinfachen und CEL-basiertes Filtern anstelle von Allowlists anbieten. Die Konfiguration von Version 2.x.x wird vollständig abwärtskompatibel mit Version 1 sein (und mit Ihren alten Gitleaks-Konfigurationen).
Habe ich erwähnt, dass ich nicht alleine arbeite? Beim Pflegen von Gitleaks über die Jahre hinweg habe ich mit vielen Community-Mitgliedern zusammengearbeitet. Wahrscheinlich Hunderte von Leuten. Drei davon waren besonders hilfreich und werden mir bei der Pflege von Betterleaks helfen. Vier Maintainer statt einem werden dazu beitragen, die Projektstabilität, Governance und Langlebigkeit zu gewährleisten.
- Richard Gomez – ein Director of Software Development in der Global Security Gruppe der Royal Bank of Canada. Ein langjähriger Gitleaks-Mitwirkender und Microsoft Security Response Center 2024 Most Valuable Researcher, Richard half beim Start des Open Source Program Office von RBC und engagiert sich leidenschaftlich für die Stärkung des Open-Source-Ökosystems, auf dem moderne Sicherheit basiert.
- Braxton Plaxco – ein Senior Information Security Analyst im Incident Response Team von Red Hat, der ebenfalls von der Erkennung von Secret-Leaks und OSINT besessen ist. Er leitete das Secret-Erkennungsprogramm von Red Hat und setzte dabei auf Open-Source-Tools wie Gitleaks (und jetzt Betterleaks) als Kern ihres LeakTK-Frameworks. Braxton sucht stets nach Möglichkeiten, die Innovationen seines Teams in die Upstream-Projekte einzubringen, um sicherzustellen, dass ihre Arbeit so vielen Menschen wie möglich zugutekommt.
- Ahrav Dutta – ein Softwareentwickler bei Amazon, der sich auf den Aufbau hochleistungsfähiger Systeme und die Weiterentwicklung des Open-Source-Secret-Scans konzentriert. Ihm ist es wichtig, die Erkennung schneller, skalierbarer und nützlicher für die breitere Sicherheits-Community zu gestalten.
Betterleaks ist unter MIT als Open Source veröffentlicht und reiht sich ein in Aikidos Liste von Open-Source-Projekten neben Aikido Safe Chain, Aikido Zen, Aikido Intel, Opengrep. Aikido sponsert das Projekt, aber es ist nicht von Aikido abhängig. Ich bin zu Aikido gekommen, weil Willem (CTO) und ich die gleiche Vision teilen, den besten Open-Source-Secrets-Scanner verfügbar zu machen. Ich arbeite an dieser Vision, indem ich Betterleaks pflege, ein unabhängiges Open-Source-Projekt mit transparenter Governance und einer Community-gesteuerten Roadmap.
Zuletzt noch eine Anmerkung zur Entwicklung von Betterleaks für die Ära der KI-Agenten. Ob man es mag oder nicht, Agenten sind da und gestalten die Workflows von Entwickelnden neu. Betterleaks ist so konzipiert, dass der Mensch im Vordergrund steht, aber wir müssen auch berücksichtigen, dass Agenten es ebenfalls bedienen werden. Wie werden Agenten Betterleaks bedienen? Wahrscheinlich auf ähnliche Weise, wie Agenten andere CLIs wie grep verwenden. Starten Sie Claude Code, Codex oder Cursor, und Sie werden sehen, wie sie ständig nach Tools wie grep greifen. Sie tun dies, weil eine gute CLI es ihnen ermöglicht, mit Flags die Ausgabe präzise zu steuern und genau die Antwort zu erhalten, die sie benötigen, ohne Ihr Token-Budget zu sprengen. Wir haben Betterleaks entwickelt, um genau diesen Nutzen zu bieten. Definieren Sie Betterleaks also als Tool für Ihren KI-Agenten und weisen Sie ihn an, jeden von ihm generierten Code zu scannen, oder erweitern Sie Ihren Bug-Bounty-Agenten, indem Sie Betterleaks ausführen, wenn er auf eine interessante Datei stößt.
Using a secrets scanner will save your bacon at one point or another so whether you’re a current Gitleaks user or completely new to secrets scanning, now is the time to give Betterleaks a spin. To help us build the best open-source secrets scanner out there, we’d massively appreciate a star on GitHub! See you in the issues and PRs :)
{{cta}}
