一款名為 Betterleaks 的全新開源工具可以掃描目錄、檔案和 git 儲存庫，並使用預設或自訂規則識別有效的金鑰。

秘密掃描器是一種專門的實用程序 ，用於掃描儲存庫，尋找開發人員不小心提交到原始程式碼中的敏感信息，例如憑證、API 金鑰、私鑰和令牌。

由於威脅行為者經常掃描公共儲存庫中的配置檔案以查找敏感細節，因此這種類型的實用程式可以幫助識別秘密並保護它們，防止攻擊者發現它們。新的 Betterleaks 專案 旨在成為Gitleaks 的更先進的繼任者 ，由同一團隊維護，並得到比利時公司 Aikido 的支持，該公司為開發週期提供安全平台。

Betterleaks 由 Aikido Security 的金鑰掃描主管 Zach Rice 開發，他也是廣受歡迎的 Gitleaks 的作者，Gitleaks 在 GitHub 上的下載量為 2600 萬次，在 Docker 和 GitHub Container Registry (GHCR) 上的拉取次數超過 3500 萬次。

掃描速度比較，來源：GitHub

開發者還透露了 Betterleaks 下一版本計劃添加的其他功能，例如支援除 Git 儲存庫和檔案之外的其他資料來源、LLM 輔助分析以更好地進行秘密分類、更多檢測過濾器、透過提供者 API 自動撤銷秘密、權限映射和效能最佳化。

關於該項目的管理，賴斯解釋說，它使用開源的 MIT 許可證，除了他自己之外，還有三個人維護該項目，其中包括來自加拿大皇家銀行、紅帽和亞馬遜的貢獻者。

原文連結：https://www.bleepingcomputer.com/news/security/betterleaks-a-new-open-source-secrets-scanner-to-replace-gitleaks/