Wir stellen Betterleaks vor, einen Open-Source secrets vom Autor von Gitleaks.

TL;DR: Betterleaks ist ein neuer Open secrets vom Autor von Gitleaks, gesponsert von Aikido. Es handelt sich um einen Drop-in-Ersatz für Gitleaks mit neuen Filtern, konfigurierbarer Validierung, schnelleren Scans, mehr Optionen und wurde für das Zeitalter der Agenten entwickelt.‍

Warum Betterleaks?

Überall Secrets , und ich liebe es, sie zu entdecken. Vor acht Jahren habe ich die ersten Zeilen Code für Gitleaks geschrieben und bin secrets davon besessen, secrets zu finden, secrets ich meine ersten Live-Anmeldedaten auf GitHub entdeckt habe. Ich mache das aus Liebe zum Spiel.

Gitleaks entwickelte sich von einem kleinen Projekt zu einem Namen, der bei Sicherheitsexperten, Hackern und Entwicklern bekannt ist. Zum Zeitpunkt der Erstellung dieses Artikels kann Gitleaks folgende Erfolge vorweisen: der meistbewertete secrets auf GitHub, 26 Millionen Downloads auf GitHub und 1,2 Millionen Downloads über „brew install“ sowie 35 Millionen Zugriffe über Docker und GHCR. Es wird sowohl als internes Tool verwendet als auch von großen und kleinen Unternehmen als Produkt verkauft.

Warum also ein neues Projekt starten?

Um ehrlich zu sein, habe ich keine vollständige Kontrolle mehr über das Gitleaks-Repo und den Namen. Das ist schade, aber es gibt mir auch die Möglichkeit, etwas Neues zu beginnen. Etwas ... Besseres?

 ○ 
  ○
  ●
  ○  Betterleaks v1.0.0

Betterleaks ist der Nachfolger von Gitleaks. Wir lassen das „git“ weg und fügen „better“ hinzu, weil es genau das ist: besser. Normativer Determinismus, jemand?

Ich bin als Leiter des Bereichs Secrets zu Aikido gekommen und hatte ein einfaches Ziel: den besten secrets zu entwickeln. Also los geht's, wir entwickeln ihn.

Hier eine kurze Zusammenfassung, wo Betterleaks heute steht. Es handelt sich um einen Drop-in-Ersatz für Gitleaks mit einer Reihe neuer Funktionen. Das bedeutet, dass Ihre alten Gitleaks-CLI-Optionen weiterhin funktionieren und alte Konfigurationen sofort einsatzbereit sind, nur dass es jetzt schneller läuft. Hier sind einige der Funktionen, die wir mit v1 ausliefern:

• Regeldefinierte Validierung: Die Validierungslogik in Betterleaks wird mit der Common Expression Language (CEL) geschrieben.
• Token-Effizienz-Scan: Anstatt sich auf Entropie zu verlassen, um potenzielle secrets zu filtern, verwendet Betterleaks eine Technik, die auf BPE-Tokenisierung basiert (über die ich in Rare Not Randombeschrieben habe). Indem wir messen, wie effizient ein BPE-Tokenizer eine Zeichenfolge komprimiert, erhalten wir eine deutliche Signalverstärkung. Im Vergleich zum CredData-Datensatz erreicht die Token-Effizienz eine Recall-Rate von 98,6 %, während die Entropie nur 70,4 % erreicht.
• Pure Go (ohne CGO): Wir wollten schnelles Scannen ohne CGO und Hyperscan. Überall einsetzbar.
• Standardmäßige Erkennung der Kodierung: Betterleaks verarbeitet secrets doppelt und dreifach kodierte secrets .
• Weitere Regeln – Es tauchen ständig neue Anbieter auf, die Ihr Unternehmen unterstützen, und wir konzentrieren uns darauf, diese hinzuzufügen. Es ist super einfach, neue Regeln und Validierungslogiken für Betterleaks zu schreiben, also legen Sie los und öffnen Sie einen PR!

Parallelisiertes Git-Scannen – Betterleaks scannt Git-Repositorys schneller als jedes andere Tool, wenn das parallele Git-Scannen aktiviert ist.

Was kommt als Nächstes für Betterleaks? V1 ist schon eine ziemliche Verbesserung gegenüber Gitleaks, aber für V2 haben wir noch mehr geplant, wie zum Beispiel: 

• Mehr Quellen scannen – Betterleaks unterstützt das Scannen von Git-Repositorys und Dateien (einschließlich stdin), aber das reicht nicht aus. Wir möchten alles scannen und das Hinzufügen neuer Quellen vereinfachen. So einfach wie möglich. So einfach wie das Hinzufügen einer einzelnen Datei zum Repository.
• LLM Assist – Rufen Sie ein lokales oder entferntes LLM mit anonymisierten Daten auf, um zusätzliche Sicherheit zu gewährleisten oder allgemeine secrets zu klassifizieren secrets potenzielle Authentifizierungsmethoden basierend auf dem Kontext zu generieren.
• Neue Filter – Token-Effizienz ist ein Teaser, aber wir haben noch mehr geplant.
• Automatischer Widerruf – Einige secrets stellen APIs zum Widerrufen secrets bereit. Wir beabsichtigen, dies über die Konfiguration zu unterstützen.
• Berechtigungszuordnung – Zu wissen , ob ein Geheimnis aktiv ist oder nicht, ist großartig, aber zu wissen, worauf dieses Geheimnis Zugriff hat und was es bewirken kann (z. B. „prod“ löschen), ist noch besser.
• Höhere Geschwindigkeiten – Es gibt bestimmt noch einige ungenutzte Optimierungsmöglichkeiten, wir müssen sie nur finden.
• Weniger umständliche (bessere) Konfiguration – Gitleaks hat eine solide Konfiguration, aber manchmal kann es etwas verwirrend sein, sie anzupassen. Wir möchten die Konfiguration noch weiter vereinfachen und CEL-basierte Filterung anstelle von Zulassungslisten einführen. Die Konfiguration der Version 2.x.x wird vollständig abwärtskompatibel mit v1 (und Ihren alten Gitleaks-Konfigurationen) sein.

Habe ich schon erwähnt, dass ich nicht alleine arbeite? Bei der Pflege von Gitleaks habe ich im Laufe der Jahre mit vielen Community-Mitgliedern zusammengearbeitet. Wahrscheinlich mit Hunderten von Leuten. Drei davon waren besonders hilfreich und werden mir bei der Pflege von Betterleaks helfen. Mit vier statt nur einem Betreuer können wir die Stabilität, Governance und Langlebigkeit des Projekts besser gewährleisten. 

1. Richard Gomez – Direktor für Softwareentwicklung in der Global Security Group der Royal Bank of Canada. Als langjähriger Mitwirkender bei Gitleaks und „Most Valuable Researcher” des Microsoft Security Response Center 2024 war Richard Gomez maßgeblich an der Gründung des Open Source Program Office der RBC beteiligt und setzt sich leidenschaftlich für die Stärkung des Open-Source-Ökosystems ein, auf dem die moderne Sicherheit basiert.
2. Braxton Plaxco – Senior Information Security Analyst im Incident Response Team von Red Hat, der sich außerdem intensiv mit der Aufdeckung geheimer Informationslecks und OSINT beschäftigt. Er leitete das Programm zur Aufdeckung geheimer Informationen bei Red Hat und stützte sich dabei auf Open-Source-Tools wie Gitleaks (und jetzt Betterleaks) als Kernstück des LeakTK-Frameworks. Braxton sucht ständig nach Möglichkeiten, die Innovationen seines Teams weiterzuentwickeln, damit möglichst viele Menschen von ihrer Arbeit profitieren können.
3. Ahrav Dutta – Softwareentwickler bei Amazon, der sich auf die Entwicklung leistungsstarker Systeme und die Weiterentwicklung von Open-Source-Secret-Scanning konzentriert. Sein Ziel ist es, die Erkennung schneller, skalierbarer und für die breitere Sicherheitsgemeinschaft nützlicher zu machen.

Betterleaks ist unter MIT als Open Source verfügbar und reiht sich neben Aikido Chain, Aikido , Aikido und Opengrep in die Liste der Open-Source-ProjekteAikido ein. Aikido das Projekt, aber es ist nicht von Aikido abhängig. Ich bin zu Aikido gekommen, Aikido Willem (CTO) und ich die gleiche Vision teilen, den besten secrets zu entwickeln. Ich arbeite an dieser Vision, indem ich Betterleaks betreue, ein unabhängiges Open-Source-Projekt mit transparenter Governance und einer von der Community gesteuerten Roadmap. 

Zuletzt noch eine Anmerkung zur Entwicklung von Betterleaks für das Zeitalter der KI-Agenten. Ob es Ihnen gefällt oder nicht, Agenten sind da und verändern die Arbeitsabläufe von Entwicklern. Betterleaks ist in erster Linie für Menschen konzipiert, aber wir müssen auch berücksichtigen, dass es auch von Agenten bedient werden wird. Wie werden Agenten Betterleaks bedienen? Wahrscheinlich ähnlich wie andere CLIs wie grep. Starten Sie Claude Code, Codex oder Cursor, und Sie werden sehen, dass sie ständig auf Tools wie grep zurückgreifen. Sie tun dies, weil sie mit einer guten CLI mithilfe von Flags die Ausgabe genau steuern und so die gewünschte Antwort erhalten können, ohne Ihr Token-Budget zu sprengen. Wir haben Betterleaks entwickelt, um genau diese Funktionalität zu bieten. Definieren Sie Betterleaks also als Tool für Ihren KI-Agenten und weisen Sie ihn an, jeden von ihm generierten Code zu scannen, oder erweitern Sie Ihren Bug-Bounty-Agenten, indem Sie Betterleaks ausführen, wenn er auf eine interessante Datei stößt.

Using a secrets scanner will save your bacon at one point or another so whether you’re a current Gitleaks user or completely new to secrets scanning, now is the time to give Betterleaks a spin. To help us build the best open-source secrets scanner out there, we’d massively appreciate a star on GitHub! See you in the issues and PRs :)

{{cta}}

​