Betterleasという新しいオープンソースシークレットスキャンツールが、広く使われているGitleaksプロジェクトの元々の作成者であるZach Riceによって導入されました。
API キー、アクセストークン、パスワード、およびプライベート認証情報が頻繁に漏洩し、ソースコードリポジトリまたは設定ファイルに流出します。
攻撃者がこれらの公開されたシークレットを積極的に探索するのは、クラウドサービス、データベース、または内部システムへの即座のアクセスを提供できるためです。Betterleasのようなツールは、これらの漏洩が悪用される前に自動的に検出することを目指しています。
Riceは8年前にGitHub上に公開されている認証情報を発見したときにシークレット検出ツールの開発を始めました。
彼の元々のプロジェクトであるGitleaksは、最も広く使われているオープンソースシークレットスキャナーの1つに成長し、数百万のダウンロードを累積し、開発者、企業、セキュリティ研究者によって使用される一般的なセキュリティツールになりました。
しかし、RiceはもはやGitleaksリポジトリとブランドの完全な管理をしていないため、彼は新しいプロジェクトを立ち上げることになりました。
Betterleasは、既存のGitleaksワークフローとの互換性を維持しながら、最新のスキャン技術を使用してシークレット検出を継続的に進めるために作成されました。
Betterleasはgitleaksの直接的な代替機能として機能し、組織は既存の設定またはコマンドラインオプションを変更することなく移行できます。
ユーザーは同じコマンドと設定を実行しながら、パフォーマンスの向上と新しい検出機能の利点を得ることができます。
最初のリリースであるBetterleaks v1.0.0は、精度とスキャン速度を向上させるために設計されたいくつかの技術的改善を導入しています。
Betterleasは現在Gitリポジトリ、ディレクトリ、ファイル、および標準入力ストリームをスキャンでき、開発パイプライン、CI/CDシステム、およびセキュリティオートメーションワークフローへの統合に適しています。
このプロジェクトは将来のオートメーションを念頭に置いて設計されています。計画されたバージョン2の機能には、追加のデータソースのスキャン、曖昧なシークレットのLLM支援分類の統合、プロバイダーAPI経由の自動シークレット無効化、および公開された認証情報がアクセスできるものを判定するための許可マッピングが含まれます。
BetterleasはMITオープンソースライセンスの下でリリースされ、Amazon、Red Hat、およびカナダ銀行を含む組織の複数のメンテナーによってサポートされており、長期的なプロジェクトの安定性とコミュニティガバナンスを確保するのに役立ちます。
シークレット露出は現代のソフトウェア開発における継続的なセキュリティリスクのままであるため、Betterleasのようなツールは、開発者とセキュリティチームに、攻撃者がそれを悪用する前に機密データを検出するためのより速く、より正確な方法を提供することを目指しています。