TL;DR: Betterleaks es un nuevo escáner de secretos de código abierto creado por el autor de Gitleaks y patrocinado por Aikido. Es un sustituto directo de Gitleaks con nuevos filtros, validación configurable, escaneos más rápidos, más opciones y diseñado para la era de los agentes.
¿Por qué Betterleaks?
Los secretos se filtran por todas partes y me encanta descubrirlos. Hace ocho años escribí las primeras líneas de código para Gitleaks y, desde que descubrí mi primera credencial activa en GitHub, me obsesiona encontrar secretos. Lo hago por amor al juego.
Gitleaks pasó de ser un pequeño proyecto a convertirse en un nombre reconocido por profesionales de la seguridad, hackers y desarrolladores. En el momento de escribir este artículo, Gitleaks presume de ser el escáner de secretos más destacado de GitHub, con 26 millones de descargas en GitHub y 1,2 millones a través de «brew install», y 35 millones de descargas por parte de Docker y GHCR. Se utiliza tanto como herramienta interna como producto comercializado por empresas grandes y pequeñas.
Entonces, ¿por qué crear un nuevo proyecto?
Para ser sincero, ya no tengo control total sobre el repositorio y el nombre de Gitleaks. Es una pena, pero también me da la oportunidad de empezar algo nuevo. ¿Algo... mejor?
○
○
●
○ Betterleaks v1.0.0
Betterleaks es el sucesor de Gitleaks. Hemos eliminado «git» y añadido «better» porque eso es lo que es, mejor. ¿Alguien cree en el determinismo normativo?
Me uní a Aikido Security jefe de escaneo de secretos un objetivo sencillo: crear el mejor escáner de secretos de código abierto. Así que, manos a la obra, lo estamos creando.
Aquí tienes un breve resumen de la situación actual de Betterleaks. Se trata de un sustituto directo de Gitleaks con un montón de nuevas funciones. Eso significa que tus antiguas opciones de CLI de Gitleaks seguirán funcionando y las antiguas configuraciones funcionarán desde el primer momento, solo que ahora será más rápido. Estas son algunas de las funciones que incluye la versión 1:
- Validación definida por reglas: La lógica de validación en Betterleaks se escribe utilizando el lenguaje de expresiones comunes (CEL).
- Escaneo de eficiencia de tokens: en lugar de basarse en la entropía para filtrar los secretos candidatos, Betterleaks utiliza una técnica basada en la tokenización BPE (sobre la que escribí en Rare Not Random). Al medir la eficiencia con la que un tokenizador BPE comprime una cadena, obtenemos una buena mejora de la señal. En comparación con el conjunto de datos CredData, la eficiencia de tokens alcanza un 98,6 % de recuperación, frente al 70,4 % de la entropía.
- Pure Go (sin CGO): Queríamos un escaneo rápido sin depender de CGO y Hyperscan. Impleméntelo en cualquier lugar.
- Detección de codificación predeterminada: Betterleaks maneja secretos codificados dos y tres veces de forma predeterminada.
- Más reglas: constantemente aparecen nuevos proveedores que impulsan tu organización y nos estamos enfocando en agregarlos. Es muy fácil escribir nuevas reglas y lógica de validación para Betterleaks, ¡así que anímate y abre un PR!
Escaneo paralelo de Git: Betterleaks escanea repositorios Git más rápido que cualquier otra herramienta cuando se habilita el escaneo paralelo de Git.
¿Qué le depara el futuro a Betterleaks? La versión 1 ya mejora bastante a Gitleaks, pero tenemos más planes para la versión 2, como:
- Escanear más fuentes: Betterleaks admite el escaneo de repositorios git y archivos (incluido stdin), pero eso no es suficiente. Queremos escanearlo todo y facilitar la adición de nuevas fuentes. Que sea muy fácil. Tan fácil como añadir un solo archivo al repositorio.
- LLM Assist: envía datos anonimizados a un LLM local o remoto para obtener un nivel adicional de confianza o para clasificar secretos genéricos y generar posibles métodos de autenticación basados en el contexto.
- Nuevos filtros: la eficiencia de tokens es solo un adelanto, pero tenemos más planes.
- Revocación automática: algunos proveedores de secretos exponen API para revocar secretos. Tenemos la intención de admitir eso a través de la configuración.
- Asignación de permisos: saber si un secreto está activo o no es muy útil, pero saber a qué tiene acceso ese secreto y qué puede hacer (como eliminar productos) es aún mejor.
- Velocidades más rápidas - Seguro que hay algunas optimizaciones sin explotar, solo tenemos que encontrarlas.
- Configuración menos engorrosa (mejor): Gitleaks tiene una configuración sólida, pero a veces puede resultar un poco confuso ajustarla. Queremos simplificar aún más la configuración y exponer el filtrado basado en CEL en lugar de las listas de permisos. La configuración de la versión 2.x.x será totalmente compatible con la v1 (y con tus antiguas configuraciones de Gitleaks).
¿He mencionado que no trabajo solo? Durante todos estos años dedicados al mantenimiento de Gitleaks, he colaborado con muchos miembros de la comunidad. Probablemente cientos de personas. Hay tres en particular que me han ayudado muchísimo y que me ayudarán a mantener Betterleaks. Contar con cuatro mantenedores en lugar de uno solo contribuirá a garantizar la estabilidad, la gobernanza y la longevidad del proyecto.
- Richard Gomez: director de desarrollo de software en el grupo de Seguridad Global del Royal Bank of Canada. Colaborador desde hace mucho tiempo de Gitleaks y investigador más valioso del Centro de Respuesta de Seguridad de Microsoft 2024, Richard ayudó a poner en marcha la Oficina del Programa de Código Abierto de RBC y es un apasionado del fortalecimiento del ecosistema de código abierto del que depende la seguridad moderna.
- Braxton Plaxco: analista sénior de seguridad de la información del equipo de respuesta a incidentes de Red Hat, obsesionado con la detección de fugas secretas y OSINT. Encabezó el programa de detección de secretos de Red Hat, basándose en herramientas de código abierto como Gitleaks (y ahora Betterleaks) como núcleo de su marco LeakTK. Braxton busca constantemente oportunidades para transmitir las innovaciones de su equipo y garantizar que su trabajo beneficie al mayor número de personas posible.
- Ahrav Dutta: ingeniero de software en Amazon dedicado al desarrollo de sistemas de alto rendimiento y al avance del escaneo de secretos de código abierto. Su objetivo es hacer que la detección sea más rápida, escalable y útil para la comunidad de seguridad en general.
Betterleaks es un proyecto de código abierto bajo la licencia MIT y se une a la lista de proyectos de código abierto de Aikido junto con Aikido Safe Chain, Aikido Zen, Aikido Intel y Opengrep. Aikido patrocina el proyecto, pero este no depende de Aikido. Me uní a Aikido porque Willem (director técnico) y yo compartimos la misma visión de crear el mejor escáner de secretos de código abierto disponible. Puedo trabajar en esa visión manteniendo Betterleaks, un proyecto independiente de código abierto con una gobernanza transparente y una hoja de ruta impulsada por la comunidad.
Por último, una nota sobre el desarrollo de Betterleaks para la era de los agentes de IA. Nos guste o no, los agentes están aquí y están remodelando los flujos de trabajo de los desarrolladores. Betterleaks está diseñado para dar prioridad a las personas, pero también debemos tener en cuenta el hecho de que los agentes también lo utilizarán. ¿Cómo utilizarán los agentes Betterleaks? Probablemente de forma similar a como utilizan otras CLI como grep. Inicie Claude Code, Codex o Cursor y verá que recurren constantemente a herramientas como grep. Lo hacen porque una buena CLI les permite utilizar indicadores para controlar estrictamente el resultado, obteniendo la respuesta exacta que necesitan sin agotar su presupuesto de tokens. Creamos Betterleaks para ofrecer exactamente la misma utilidad. Así que adelante, define Betterleaks como una herramienta para tu agente de IA y dile que escanee cualquier código que genere, o enriquece tu agente de recompensa por errores ejecutando Betterleaks cuando encuentre un archivo interesante.
Using a secrets scanner will save your bacon at one point or another so whether you’re a current Gitleaks user or completely new to secrets scanning, now is the time to give Betterleaks a spin. To help us build the best open-source secrets scanner out there, we’d massively appreciate a star on GitHub! See you in the issues and PRs :)
{{cta}}
