Presentamos Betterleaks, un escáner de secretos de código abierto del autor de Gitleaks

TL;DR: Betterleaks es un nuevo escáner de secretos de código abierto del autor de Gitleaks, patrocinado por Aikido Security. Es un reemplazo directo para Gitleaks con nuevos filtros, validación configurable, escaneos más rápidos, más opciones y diseñado para la era agéntica.‍

¿Por qué Betterleaks?

Los secretos se filtran por todas partes y me encanta encontrarlos. Hace ocho años escribí las primeras líneas de código para Gitleaks y he estado obsesionado con encontrar secretos desde que descubrí mi primera credencial activa en GitHub. Estoy en esto por amor al juego.

Gitleaks pasó de ser un pequeño proyecto a un nombre reconocido por profesionales de la seguridad, hackers y desarrolladores. En el momento de escribir esto, Gitleaks presume de: ser el escáner de secretos más destacado en GitHub, descargado 26 millones de veces en GitHub y 1,2 millones de veces a través de `brew install`, y extraído 35 millones de veces por Docker y GHCR. Se utiliza tanto como herramienta interna como producto vendido por empresas grandes y pequeñas.

‍
Entonces, ¿por qué crear un nuevo proyecto?

Para ser transparente, ya no tengo control total sobre el repositorio y el nombre de Gitleaks. Es una pena, pero también me da la oportunidad de empezar algo nuevo. Algo... mejor?

  ○
  ○
  ●
  ○  Betterleaks v1.0.0

Betterleaks es el sucesor de Gitleaks. Estamos eliminando el “git” y añadiéndole “better” porque eso es lo que es, mejor. ¿Determinismo normativo, alguien?

Me uní a Aikido Security como Jefe de Escaneo de Secretos con un objetivo simple: construir el mejor escáner de secretos de código abierto. Así que, ¡manos a la obra!, lo estamos construyendo.

Aquí tienes un resumen rápido de dónde se encuentra Betterleaks hoy. Es un reemplazo directo para Gitleaks con un montón de nuevas características. Esto significa que tus antiguas opciones de CLI de Gitleaks seguirán funcionando y las configuraciones antiguas funcionarán de inmediato; simplemente se ejecutará más rápido. Estas son algunas de las características con las que lanzamos la v1:

• Validación Definida por Reglas: La lógica de validación en Betterleaks está escrita utilizando el Common Expression Language (CEL).
• Escaneo por Eficiencia de Tokens: En lugar de depender de la entropía para filtrar secretos candidatos, Betterleaks utiliza una técnica basada en la tokenización BPE (sobre la cual escribí en Rare Not Random). Al medir la eficiencia con la que un tokenizador BPE comprime una cadena, obtenemos una mejora significativa de la señal. Frente al conjunto de datos CredData, la eficiencia de tokens alcanza un 98,6% de recall en comparación con el 70,4% de la entropía.
• Go Puro (Sin CGO): Queríamos un escaneo rápido sin depender de CGO y Hyperscan. Despliégalo en cualquier lugar.
• Detección de Codificación por Defecto: Betterleaks maneja secretos doble y triplemente codificados por defecto.
• Más Reglas - Constantemente surgen nuevos proveedores que impulsan tu organización y nos centramos en añadirlos. Es muy fácil escribir nuevas reglas y lógica de validación para Betterleaks, ¡así que anímate y abre un PR!

Escaneo Git Paralelizado - Betterleaks escanea repositorios Git más rápido que cualquier otra herramienta cuando el escaneo Git paralelizado está habilitado.

¿Qué sigue para Betterleaks? La V1 ya mejora bastante a Gitleaks, pero tenemos más planeado en la V2, como: 

• Escaneo de más fuentes - Betterleaks soporta el escaneo de repositorios Git y archivos (incluyendo stdin), pero eso no es suficiente. Queremos escanear todo y facilitar la adición de nuevas fuentes. Como increíblemente fácil. Tan fácil como añadir un solo archivo al repositorio.
• Asistencia LLM - Invocar a un LLM local o remoto con datos anonimizados para una capa adicional de confianza o para clasificar secretos genéricos y generar posibles métodos de autenticación basados en el contexto.
• Nuevos filtros - La eficiencia de tokens es un adelanto, pero tenemos más planeado.
• Revocación Automática - Algunos proveedores de secretos exponen APIs para revocar secretos. Tenemos la intención de soportar esto a través de la configuración.
• Mapeo de Permisos - Saber si un secreto está activo o no es genial, pero saber a qué tiene acceso ese secreto y qué puede hacer (como eliminar producción) es aún mejor.
• Velocidades Más Rápidas - Seguro que hay optimizaciones sin explotar que solo tenemos que encontrar.
• Configuración menos engorrosa (mejor) - Gitleaks tiene una configuración sólida, pero a veces puede ser un poco confuso ajustarla. Queremos simplificar aún más la configuración y exponer el filtrado basado en CEL en lugar de las listas de permitidos. La configuración de la versión 2.x.x será totalmente compatible con la v1 (y con sus antiguas configuraciones de Gitleaks).

¿Mencioné que no estoy trabajando solo? A lo largo de los años, manteniendo Gitleaks, he interactuado con muchos miembros de la comunidad. Probablemente cientos de personas. Hay tres en particular que han sido extraordinariamente útiles y me ayudarán a mantener Betterleaks. Tener cuatro mantenedores en lugar de uno ayudará a garantizar la estabilidad, la gobernanza y la longevidad del proyecto. 

1. Richard Gomez - director de desarrollo de software en el grupo de Seguridad Global del Royal Bank of Canada. Colaborador de Gitleaks desde hace mucho tiempo y 'Most Valuable Researcher' del Microsoft Security Response Center en 2024, Richard ayudó a lanzar la Oficina del Programa de Código Abierto de RBC y le apasiona fortalecer el ecosistema de código abierto del que depende la seguridad moderna.
2. Braxton Plaxco - analista sénior de seguridad de la información en el equipo de respuesta a incidentes de Red Hat, también obsesionado con la detección de fugas de secretos y OSINT. Lideró el programa de detección de secretos de Red Hat, basándose en herramientas de código abierto como Gitleaks (y ahora Betterleaks) como núcleo de su framework LeakTK. Braxton busca constantemente oportunidades para integrar las innovaciones de su equipo y asegurar que su trabajo beneficie a la mayor cantidad de personas posible.
3. Ahrav Dutta - ingeniero de software en Amazon, centrado en la construcción de sistemas de alto rendimiento y en el avance del escaneo de secretos de código abierto. Le interesa que la detección sea más rápida, más escalable y más útil para la comunidad de seguridad en general.

Betterleaks es de código abierto bajo licencia MIT y se une a la lista de proyectos de código abierto de Aikido junto con Aikido Safe Chain, Aikido Zen, Aikido Intel, Opengrep. Aikido patrocina el proyecto, pero no depende de Aikido. Me uní a Aikido porque Willem (CTO) y yo compartimos la misma visión de crear el mejor escáner de secretos de código abierto disponible. Trabajo en esa visión manteniendo Betterleaks, un proyecto de código abierto independiente con gobernanza transparente y una hoja de ruta impulsada por la comunidad. 

Por último, una nota sobre el desarrollo de Betterleaks para la era de los agentes de IA. Nos guste o no, los agentes están aquí y están remodelando los flujos de trabajo de los desarrolladores. Betterleaks está diseñado para priorizar al ser humano, pero también debemos considerar el hecho de que los agentes lo operarán. ¿Cómo operarán los agentes Betterleaks? Probablemente de una manera similar a cómo los agentes usan otras CLI como grep. Inicie Claude Code, Codex o Cursor, y verá cómo recurren constantemente a herramientas como grep. Hacen esto porque una buena CLI les permite usar flags para controlar estrictamente la salida, obteniendo la respuesta exacta que necesitan sin agotar su presupuesto de tokens. Construimos Betterleaks para ofrecer esa misma utilidad. Así que adelante, defina Betterleaks como una herramienta para su agente de IA y dígale que escanee cualquier código que genere, o enriquezca su agente de recompensas por errores ejecutando Betterleaks cuando encuentre un archivo interesante.

Using a secrets scanner will save your bacon at one point or another so whether you’re a current Gitleaks user or completely new to secrets scanning, now is the time to give Betterleaks a spin. To help us build the best open-source secrets scanner out there, we’d massively appreciate a star on GitHub! See you in the issues and PRs :)

{{cta}}