TL;DR: Betterleaks est un nouveau scanner de secrets open source créé par l'auteur de Gitleaks et sponsorisé par Aikido. Il remplace Gitleaks avec de nouveaux filtres, une validation configurable, des analyses plus rapides, davantage d'options et est conçu pour l'ère des agents.
Pourquoi Betterleaks ?
Les secrets fuient partout et j'adore les découvrir. Il y a huit ans, j'ai écrit les premières lignes de code pour Gitleaks et je suis obsédé par la recherche de secrets depuis que j'ai découvert mes premières informations d'identification en direct sur GitHub. Je fais cela par amour du jeu.
Gitleaks est passé d'un petit projet à un nom reconnu par les professionnels de la sécurité, les hackers et les développeurs. Au moment où nous écrivons ces lignes, Gitleaks peut se vanter d'être le scanner de secrets le plus populaire sur GitHub, avec 26 millions de téléchargements sur GitHub et 1,2 million via « brew install », et 35 millions de téléchargements via Docker et GHCR. Il est utilisé à la fois comme outil interne et vendu comme produit par des entreprises de toutes tailles.
Alors pourquoi créer un nouveau projet ?
Pour être transparent, je n'ai plus le contrôle total sur le dépôt et le nom Gitleaks. C'est dommage, mais cela me donne aussi l'occasion de prendre un nouveau départ. Quelque chose de... mieux ?
○
○
●
○ Betterleaks v1.0.0
Betterleaks est le successeur de Gitleaks. Nous avons supprimé « git » et ajouté « better » parce que c'est exactement ce qu'il est : meilleur. Quelqu'un croit au déterminisme normatif ?
J'ai rejoint Aikido en tant que responsable de analyse des secrets un objectif simple : créer le meilleur scanner de secrets open source. Alors, c'est parti, nous sommes en train de le développer.
Voici un bref résumé de la situation actuelle de Betterleaks. Il s'agit d'un remplacement direct de Gitleaks avec une multitude de nouvelles fonctionnalités. Cela signifie que vos anciennes options CLI Gitleaks continueront de fonctionner et que vos anciennes configurations seront immédiatement opérationnelles, mais avec une vitesse accrue. Voici quelques-unes des fonctionnalités incluses dans la version 1 :
- Validation définie par règle : la logique de validation dans Betterleaks est écrite à l'aide du langage d'expression commun (CEL).
- Analyse de l'efficacité des jetons : au lieu de s'appuyer sur l'entropie pour filtrer les secrets candidats, Betterleaks utilise une technique basée sur la tokenisation BPE (dont j'ai parlé dans Rare Not Random). En mesurant l'efficacité avec laquelle un tokeniseur BPE compresse une chaîne, nous obtenons un gain de signal intéressant. Par rapport à l'ensemble de données CredData, l'efficacité des jetons atteint un taux de rappel de 98,6 %, contre 70,4 % pour l'entropie.
- Pure Go (sans CGO) : nous voulions un scan rapide sans avoir recours à CGO et Hyperscan. Déployez-le où vous voulez.
- Détection de l'encodage par défaut : Betterleaks gère par défaut les secrets doublement et triplement encodés.
- Plus de règles - De nouveaux fournisseurs qui dynamisent votre organisation apparaissent sans cesse et nous nous efforçons de les ajouter. Il est très facile d'écrire de nouvelles règles et logiques de validation pour Betterleaks, alors n'hésitez pas à ouvrir un PR!
Analyse Git parallélisée - Betterleaks analyse les dépôts Git plus rapidement que tout autre outil lorsque l'analyse Git parallélisée est activée.
Quelle est la prochaine étape pour Betterleaks ? La version 1 apporte déjà de nombreuses améliorations par rapport à Gitleaks, mais nous avons prévu d'autres nouveautés pour la version 2, telles que :
- Analyse de davantage de sources - Betterleaks prend en charge l'analyse des dépôts git et des fichiers (y compris stdin), mais cela ne suffit pas. Nous voulons tout analyser et faciliter l'ajout de nouvelles sources. À tel point que cela en devienne ridiculement simple. Aussi simple que d'ajouter un seul fichier au dépôt.
- LLM Assist - Appelez un LLM local ou distant avec des données anonymisées pour bénéficier d'un niveau de confiance supplémentaire ou pour classer les secrets génériques et générer des méthodes d'authentification potentielles en fonction du contexte.
- Nouveaux filtres - L'efficacité des jetons est un avant-goût, mais nous avons d'autres projets en réserve.
- Révocation automatique - Certains fournisseurs de secrets exposent des API permettant de révoquer des secrets. Nous avons l'intention de prendre en charge cette fonctionnalité via la configuration.
- Mappage des autorisations - Savoir si un secret est actif ou non est très utile, mais savoir à quoi ce secret a accès et ce qu'il peut faire (comme supprimer prod) est encore mieux.
- Vitesses plus rapides - Il y a forcément des optimisations inexploitées, il suffit de les trouver.
- Configuration moins lourde (améliorée) - Gitleaks dispose d'une configuration solide, mais elle peut parfois être un peu déroutante à modifier. Nous souhaitons simplifier encore davantage la configuration et proposer un filtrage basé sur CEL plutôt que des listes d'autorisation. La configuration de la version 2.x.x sera entièrement rétrocompatible avec la v1 (et vos anciennes configurations gitleaks).
Ai-je mentionné que je ne travaille pas seul ? En gérant Gitleaks depuis des années, j'ai collaboré avec de nombreux membres de la communauté. Probablement des centaines de personnes. Trois d'entre elles m'ont été d'une aide précieuse et m'aideront à gérer Betterleaks. Le fait d'avoir quatre gestionnaires au lieu d'un seul contribuera à assurer la stabilité, la gouvernance et la pérennité du projet.
- Richard Gomez - directeur du développement logiciel au sein du groupe Sécurité mondiale de la Banque Royale du Canada. Contributeur de longue date à Gitleaks et chercheur le plus précieux du Microsoft Security Response Center 2024, Richard a contribué au lancement du bureau des programmes open source de la RBC et se passionne pour le renforcement de l'écosystème open source dont dépend la sécurité moderne.
- Braxton Plaxco - analyste principal en sécurité de l'information au sein de l'équipe de réponse aux incidents de Red Hat, il est également passionné par la détection des fuites secrètes et l'OSINT. Il a dirigé le programme de détection des secrets de Red Hat, en s'appuyant sur des outils open source tels que Gitleaks (et désormais Betterleaks) comme élément central de leur framework LeakTK. Braxton recherche en permanence des opportunités pour faire remonter les innovations de son équipe afin que leur travail profite au plus grand nombre.
- Ahrav Dutta - ingénieur logiciel chez Amazon, spécialisé dans la création de systèmes hautement performants et dans le développement de la technologie open source de scan des secrets. Il s'attache à rendre la détection plus rapide, plus évolutive et plus utile pour l'ensemble de la communauté de la sécurité.
Betterleaks est open source sous licence MIT et rejoint la liste des projets open sourceAikido aux côtés Aikido Chain, Aikido , Aikido et Opengrep. Aikido le projet, mais celui-ci ne dépend pas Aikido. J'ai rejoint Aikido Willem (directeur technique) et moi partageons la même vision : créer le meilleur scanner de secrets open source possible. Je travaille à la réalisation de cette vision en assurant la maintenance de Betterleaks, un projet open source indépendant avec une gouvernance transparente et une feuille de route définie par la communauté.
Enfin, une remarque sur le développement de Betterleaks pour l'ère des agents IA. Qu'on le veuille ou non, les agents sont là et remodèlent les flux de travail des développeurs. Betterleaks est conçu pour donner la priorité à l'humain, mais nous devons également tenir compte du fait que les agents l'utiliseront également. Comment les agents utiliseront-ils Betterleaks ? Probablement de la même manière qu'ils utilisent d'autres CLI comme grep. Lancez Claude Code, Codex ou Cursor, et vous les verrez constamment utiliser des outils comme grep. Ils le font parce qu'une bonne CLI leur permet d'utiliser des indicateurs pour contrôler étroitement le résultat, obtenant ainsi la réponse exacte dont ils ont besoin sans épuiser votre budget de jetons. Nous avons conçu Betterleaks pour offrir exactement la même utilité. Alors n'hésitez pas, définissez Betterleaks comme un outil pour votre agent IA et demandez-lui d'analyser tout code qu'il génère, ou enrichissez votre agent de chasse aux bugs en exécutant Betterleaks lorsqu'il rencontre un fichier intéressant.
Using a secrets scanner will save your bacon at one point or another so whether you’re a current Gitleaks user or completely new to secrets scanning, now is the time to give Betterleaks a spin. To help us build the best open-source secrets scanner out there, we’d massively appreciate a star on GitHub! See you in the issues and PRs :)
{{cta}}
