TL;DR : Betterleaks est un nouveau scanner de secrets open source de l'auteur de Gitleaks, sponsorisé par Aikido. C'est un remplacement direct de Gitleaks avec de nouveaux filtres, une validation configurable, des analyses plus rapides, plus d'options, et il est conçu pour l'ère agentique.
Pourquoi Betterleaks ?
Les secrets fuient partout et j'adore les trouver. Il y a huit ans, j'ai écrit les premières lignes de code de Gitleaks et je suis obsédé par la recherche de secrets depuis la découverte de mes premières informations d'identification actives sur GitHub. Je suis là par passion.
Gitleaks est passé d'un petit projet à un nom reconnu par les professionnels de la sécurité, les hackers et les développeurs. Au moment de la rédaction, Gitleaks se targue d'être : le scanner de secrets le plus étoilé sur GitHub, téléchargé 26 millions de fois sur GitHub et 1,2 million de fois via `brew install`, et tiré 35 millions de fois par Docker et GHCR. Il est utilisé à la fois comme outil interne et vendu comme produit par des entreprises de toutes tailles.
Alors pourquoi créer un nouveau projet ?
Pour être transparent, je n'ai plus le contrôle total du dépôt et du nom de Gitleaks. C'est dommage, mais cela me donne aussi l'opportunité de repartir de zéro. Quelque chose de… mieux ?
○
○
●
○ Betterleaks v1.0.0
Betterleaks est le successeur de Gitleaks. Nous laissons tomber le « git » et y apposons « better » parce que c'est ce qu'il est, meilleur. Déterminisme normatif, ça vous dit ?
J'ai rejoint Aikido Security en tant que Responsable de l'analyse des secrets avec un objectif simple : construire le meilleur scanner de secrets open source. Alors, en avant, nous le construisons.
Voici un bref résumé de la situation actuelle de Betterleaks. C'est un remplacement direct de Gitleaks avec un tas de nouvelles fonctionnalités. Cela signifie que vos anciennes options CLI de Gitleaks continueront de fonctionner et les anciennes configurations fonctionneront immédiatement, il sera juste plus rapide. Voici quelques-unes des fonctionnalités que nous livrons avec la v1 :
- Validation définie par des règles : La logique de validation dans Betterleaks est écrite en utilisant le Common Expression Language (CEL).
- Analyse de l'efficacité des tokens : Au lieu de s'appuyer sur l'entropie pour filtrer les secrets candidats, Betterleaks utilise une technique basée sur la tokenisation BPE (que j'ai décrite dans Rare Not Random). En mesurant l'efficacité avec laquelle un tokenizer BPE compresse une chaîne, nous obtenons une nette amélioration du signal. Contre l'ensemble de données CredData, l'efficacité des tokens atteint un rappel de 98,6 % contre 70,4 % pour l'entropie.
- Pure Go (sans CGO) : Nous voulions une analyse rapide sans dépendre de CGO et Hyperscan. Déployez-le partout.
- Détection d'encodage par défaut : Betterleaks gère par défaut les secrets doublement et triplement encodés.
- Plus de règles - De nouveaux fournisseurs alimentant votre organisation apparaissent constamment et nous nous concentrons sur leur ajout. Il est très facile d'écrire de nouvelles règles et logiques de validation pour Betterleaks, alors n'hésitez pas à ouvrir une PR !
Scan Git parallélisé - Betterleaks scanne les dépôts Git plus rapidement que tout autre outil lorsque le scan Git parallélisé est activé.
Quelle est la suite pour Betterleaks ? La version 1 améliore déjà considérablement Gitleaks, mais nous avons d'autres projets pour la version 2, notamment :
- Scan de plus de sources - Betterleaks prend en charge le scan des dépôts Git et des fichiers (y compris stdin), mais ce n'est pas suffisant. Nous voulons tout scanner et faciliter l'ajout de nouvelles sources. Extrêmement facile. Aussi simple que d'ajouter un seul fichier au dépôt.
- Assistance LLM - Faire appel à un LLM local ou distant avec des données anonymisées pour une couche de confiance supplémentaire ou pour classer les secrets génériques et générer des méthodes d'authentification potentielles basées sur le contexte.
- Nouveaux filtres - L'efficacité des jetons n'est qu'un aperçu, mais nous avons d'autres projets.
- Révocation automatique - Certains fournisseurs de secrets exposent des API pour révoquer les secrets. Nous avons l'intention de prendre en charge cela via la configuration.
- Mappage des permissions - Savoir si un secret est actif ou non est une bonne chose, mais savoir à quoi ce secret a accès et ce qu'il peut faire (comme supprimer la production) est encore mieux.
- Vitesses accrues - Il y a forcément des optimisations inexploitées que nous devons simplement trouver.
- Configuration moins lourde (améliorée) - Gitleaks dispose d'une configuration solide, mais elle peut parfois être un peu complexe à ajuster. Nous voulons simplifier davantage la configuration et exposer un filtrage basé sur CEL plutôt que des listes blanches. La configuration de la version 2.x.x sera entièrement rétrocompatible avec la v1 (et vos anciennes configurations Gitleaks).
Ai-je mentionné que je ne travaillais pas seul ? En maintenant Gitleaks au fil des ans, j'ai interagi avec de nombreux membres de la communauté. Probablement des centaines de personnes. Trois d'entre eux, en particulier, ont été extraordinairement utiles et m'aideront à maintenir Betterleaks. Avoir quatre mainteneurs au lieu d'un contribuera à assurer la stabilité, la gouvernance et la longévité du projet.
- Richard Gomez - directeur du développement logiciel au sein du groupe Sécurité Globale de la Banque Royale du Canada. Contributeur de longue date de Gitleaks et chercheur le plus précieux (Most Valuable Researcher) du Microsoft Security Response Center en 2024, Richard a contribué au lancement de l'Open Source Program Office de la RBC et est passionné par le renforcement de l'écosystème open source dont dépend la sécurité moderne.
- Braxton Plaxco - analyste principal en sécurité de l'information au sein de l'équipe de réponse aux incidents de Red Hat, également obsédé par la détection des fuites de secrets et l'OSINT. Il a dirigé le programme de détection des secrets de Red Hat, s'appuyant sur des outils open source comme Gitleaks (et maintenant Betterleaks) comme base de leur framework LeakTK. Braxton recherche constamment des opportunités de remonter les innovations de son équipe pour s'assurer que leur travail profite au plus grand nombre.
- Ahrav Dutta - ingénieur logiciel chez Amazon, qui se concentre sur la création de systèmes haute performance et l'avancement de l'analyse open source des secrets. Il se soucie de rendre la détection plus rapide, plus évolutive et plus utile pour la communauté de la sécurité au sens large.
Betterleaks est open source sous licence MIT et rejoint la liste des projets open source d'Aikido aux côtés d'Aikido Safe Chain, d'Aikido Zen, d'Aikido Intel et d'Opengrep. Aikido sponsorise le projet, mais celui-ci n'est pas dépendant d'Aikido. J'ai rejoint Aikido car Willem (CTO) et moi partageons la même vision : rendre disponible le meilleur scanner de secrets open source. Je travaille à cette vision en maintenant Betterleaks, un projet open source indépendant avec une gouvernance transparente et une feuille de route pilotée par la communauté.
Enfin, une note sur le développement de Betterleaks pour l'ère des agents IA. Qu'on le veuille ou non, les agents sont là et transforment les workflows des développeurs. Betterleaks est conçu pour être centré sur l'humain, mais nous devons également considérer le fait que des agents l'utiliseront aussi. Comment les agents utiliseront-ils Betterleaks ? Probablement d'une manière similaire à la façon dont les agents utilisent d'autres CLI comme grep. Lancez Claude Code, Codex ou Cursor, et vous les verrez constamment recourir à des outils comme grep. Ils le font parce qu'une bonne CLI leur permet d'utiliser des drapeaux pour contrôler précisément la sortie, obtenant la réponse exacte dont ils ont besoin sans épuiser leur budget de tokens. Nous avons conçu Betterleaks pour offrir exactement la même utilité. Alors, allez-y, définissez Betterleaks comme un outil pour votre agent IA et demandez-lui d'analyser tout code qu'il génère, ou enrichissez votre agent de bug bounty en exécutant Betterleaks lorsqu'il rencontre un fichier intéressant.
Using a secrets scanner will save your bacon at one point or another so whether you’re a current Gitleaks user or completely new to secrets scanning, now is the time to give Betterleaks a spin. To help us build the best open-source secrets scanner out there, we’d massively appreciate a star on GitHub! See you in the issues and PRs :)
{{cta}}
