Aikido Security 团队于近期正式发布了名为 Betterleaks 的开源工具。该工具被设计为 Gitleaks 的继任者,旨在更有效地扫描目录、文件及 Git 仓库中的敏感信息。项目负责人 Zach Rice 表示,新工具在功能上实现了显著升级,因此更名为 Betterleaks。该工具由比利时安全公司 Aikido 支持,确保其长期维护能力。
这款扫描器的核心优势在于采用了基于 CEL 的自定义规则验证机制。它利用 BPE 标记化技术进行令牌效率扫描,而非传统的熵值分析。据测试数据显示,该工具在 CredData 数据集上的召回率达到了 98.6%。相比之下,传统熵值方法的召回率仅为 70.4%。这显著提高了误报率的控制。
技术实现方面,Betterleaks 采用纯 Go 语言编写,无需依赖 CGO 或 Hyperscan。这种架构简化了部署流程,同时支持对双重或三重编码的敏感信息进行自动处理。开发者还可以并行扫描 Git 仓库,从而大幅提升分析速度。纯 Go 实现意味着跨平台兼容性。
Zach Rice 在八年前启动了 Gitleaks 项目,该工具曾获得超过 2600 万次 GitHub 下载。Docker 和 GitHub 容器注册表的拉取次数更是超过了 3500 万。然而,由于控制权变更问题,Rice 失去了对该项目的完全掌控。该工具曾是开发者社区中最受欢迎的组件。
这一变化促使 Rice 与 Aikido Security 合作开发了新的扫描工具。根据 BleepingComputer 报道,新项目的治理结构采用了开源 MIT 许可证。维护团队除了 Rice 本人外,还包括来自加拿大皇家银行、红帽和亚马逊的贡献者。这种多元化背景有助于确保工具的中立性。
未来的版本计划支持 Git 仓库和文件之外的更多数据源。Rice 透露,后续更新将引入大语言模型辅助分析以优化敏感信息分类。自动撤销功能将通过提供商 API 实现,进一步降低风险。这将支持企业级更复杂的安全流程。
工具设计哲学兼顾了人类使用习惯与 AI 智能体工作流。命令行界面针对自动化扫描 AI 生成代码的工具进行了优化。这种设计反映了当前软件开发流程中人工智能渗透的现状。这有助于适应 AI 生成代码的快速增加。
安全威胁经常扫描公开仓库中的配置文件以寻找敏感细节。此类工具的出现有助于在攻击者发现之前识别并保护密钥。随着代码生成工具的普及,自动化检测变得愈发重要。攻击者利用这些密钥进行初始访问或数据窃取。
此次发布标志着开源安全工具领域的一次重要迭代。开发者需要关注新工具的文档并评估迁移成本。行业观察者认为这将为敏感信息泄露防护树立新的标准。这可能会影响其他开源安全工具的竞争策略。
尽管 Gitleaks 仍在维护,但社区正在逐渐转向新的解决方案。Rice 强调 Betterleaks 是更先进的继任者。随着更多企业采纳该工具,安全标准有望得到整体提升。开发者应提前规划迁移路径以确保持续合规。
