広く使用されている秘密スキャンツール Gitleaks の元々の開発者である Zach Rice は、その後継製品である Betterleaks を正式に発表しました。
Aikido Security がスポンサーする新しいオープンソースプロジェクトは、コードベース内のハードコードされた秘密を見つけるための、より高速で、よりスマートで、高度に設定可能な置き換えを目的としています。
元の Gitleaks リポジトリの完全な管理権を失った後、Rice は Aikido に秘密スキャニング責任者として参加し、彼の前の仕事のあらゆる側面を改善するツールを構築しました。
Betterleaks はその前身の直接的な置き換えとして設計されています。つまり、既存のコマンドラインインターフェースオプションと設定がそのままで機能します。
しかし、表面の下では、エンジンは優れたパフォーマンスと精度を提供するために完全に改造されています。
このプロジェクトは MIT ライセンスの下でオープンソース化されており、Red Hat、Amazon、カナダロイヤル銀行などの組織から経験豊かな共同メンテナーのチームを集め、長期的な安定性と堅牢なコミュニティガバナンスを確保しています。
Betterleaks の主な機能
- ルール定義の検証は共通表現言語(CEL)を使用して、高度にカスタマイズ可能で正確なフィルタリングロジックを作成します。
- トークン効率スキャンは従来のエントロピー方法を BPE トークン化に置き換え、従来の 70.4% と比較して検出リコール率を 98.6% に向上させます。
- このツールは CGO や Hyperscan に依存しない純粋な Go で書かれており、任意の環境で迅速にデプロイするのが非常に簡単です。
- デフォルトエンコーディング検出により、基本的なスキャンで漏れてしまう可能性のある二重および三重にエンコードされた秘密を自動的に識別および処理します。
- 並列化された git スキャンにより、ツールは競合製品よりも速く、広範なリポジトリの履歴を処理できます。
- コミュニティ主導のルール拡張により、スキャナーが最新のサービスプロバイダーと認証トークンで更新され続けることが保証されます。
開発チームは、来る Version 2 リリースのための野心的なロードマップを既に計画しています。
将来の機能には、任意のカスタムデータソースを簡単にスキャンする機能、プロバイダー API を介した自動秘密無効化、および侵害された秘密がアクセスできる内容を正確に判定するための権限マッピングが含まれます。
Aikido Security チームはまた、LLM アシスト機能を統合する予定です。これは匿名化されたデータを使用して汎用秘密を分類し、周囲のコンテキストに基づいて潜在的な認証方法を提案します。
さらに、Betterleaks は AI エージェントの新興時代を念頭に置いて特に構築されました。
開発者がClaude Code と Cursor、AI エージェントなどのツールにますます依存するにつれて、生成するコードをトークンリミットを超えることなく安全にスキャンするための効率的なコマンドラインユーティリティが必要です。
Betterleaks は厳密な出力制御と高速実行を提供し、自動化されたセキュリティワークフローやバグバウンティハンティングに直接統合するための完璧なツールになります。
翻訳元: https://gbhackers.com/betterleaks-launches-as-open-source-tool/
