Betterleaks, Gitleaks를 대체할 새로운 오픈소스 시크릿 스캐너

Source: Bleeping Computer

개요

Betterleaks라는 새로운 오픈‑소스 도구는 디렉터리, 파일 및 Git 저장소를 스캔하고 기본 규칙 또는 사용자 정의 규칙을 사용해 유효한 비밀을 식별할 수 있습니다.

비밀 스캐너는 전문 유틸리티로, 개발자가 실수로 소스 코드에 커밋한 자격 증명, API 키, 개인 키, 토큰 등 민감한 정보를 저장소에서 찾아냅니다. 위협 행위자들이 종종 공개 저장소의 구성 파일을 스캔해 이러한 정보를 찾기 때문에, 이러한 유틸리티는 공격자가 비밀을 발견하기 전에 식별하고 보호하는 데 도움을 줍니다(공격자가 찾기 전에 비밀을 보호).

Betterleaks 프로젝트는 Gitleaks의 보다 고급적인 후속으로 설계되었으며, 같은 팀이 유지 관리하고 벨기에 기업 Aikido의 지원을 받고 있습니다. Aikido는 개발 주기 보안을 위한 플랫폼을 제공하는 회사입니다.

Betterleaks는 Aikido Security의 비밀 스캔 담당 책임자인 Zach Rice가 개발했으며, 그는 인기 있는 Gitleaks(GitHub에서 2600만 다운로드, Docker와 GHCR에서 3500만 이상 풀)도 만든 인물입니다.

“Betterleaks는 Gitleaks의 후속 버전입니다. ‘git’이라는 단어를 빼고 ‘better’를 붙인 이유가 바로 그것이 더 나은 것이기 때문입니다,” 라고 Rice가 말했습니다.

스캔 속도 비교

스캔 속도 비교 – 출처: GitHub

기능

• **CEL(공통 표현 언어)**을 이용한 규칙 기반 검증
• 엔트로피 대신 BPE 토큰화를 사용한 토큰 효율 스캔, CredData 데이터셋에서 엔트로피 기반 70.4 % 대비 98.6 % 재현율 달성
• Pure Go 구현(CGO 또는 Hyperscan 의존성 없음)
• 이중/삼중 인코딩된 비밀 자동 처리
• 프로바이더 수를 늘린 확장된 규칙 세트
• 병렬 Git 스캔을 통한 빠른 저장소 분석

예정된 개선 사항

• Git 저장소와 파일 외의 추가 데이터 소스 지원
• 비밀 분류를 향상시키는 LLM 기반 분석
• 더 많은 탐지 필터
• 프로바이더 API를 통한 자동 비밀 폐기
• 권한 매핑
• 성능 최적화

거버넌스 및 커뮤니티

Betterleaks는 오픈‑소스 MIT 라이선스로 배포됩니다. Rice 외에도 캐나다 로열뱅크, 레드햇, 아마존 등 조직의 세 명의 기여자가 프로젝트를 유지 관리하고 있습니다.

Rice는 Betterleaks의 설계 철학이 인간 중심 사용성을 AI 에이전트 워크플로와 결합하도록 만든다고 강조합니다. 여기에는 AI‑생성 코드를 스캔하는 자동화 도구에 최적화된 CLI 기능도 포함됩니다.